Как защитить ключ шифрования app.php? (Laravel 5)

Question

Согласно this, Laravel поддерживает шифрование и дешифрование данных. Он работает хорошо и легко настраивается, но мой вопрос: насколько он безопасен?

Что делать, если зашифрованные поля в базе данных скомпрометированы, а затем файл app.php также скомпрометирован? Затем они будут иметь доступ к ключу шифрования.

Есть ли способ, которым мы можем программно защитить ключ шифрования от хакеров?

This answer, конечно, полезно, но мне интересно, существует ли конкретный метод для приложений Laravel. Оценил!

Answer 1

Шифрование Laravel является сильным, оно использует алгоритм AES через MCrypt, который является известным расширением PHP.

Если ваши зашифрованные поля И ваш ключ шифрования попадает в чужие руки, вы довольно сильно ввернуты, и вам нечего делать.

К счастью, есть способы защитить ключ. Прежде всего, разве вы НИКОГДА не кладете свой ключ в файл app.php. Laravel 5 упрощает использование environments. Поместите ключ в файл .env и обратитесь к нему в свой файл app.php.

Как эти файлы лежат снаружи досягаемости кода, который вы используете в своей public папке, вам хорошо идти. Если кто-то с плохими намерениями находит путь к ssh или FTP на ваш сервер, этот подход не спасет вас, но и никто другой не будет.

Я не знаю, что вы планируете зашифровать, но, вовремя, вы задумываетесь о защите паролей через шифрование, пожалуйста, read on.