对于与其他人共享的git存储库,在settings.py
文件中是否存在暴露数据库密码的漏洞? (我最初的想法是否定的,因为你仍然需要ssh密码。)在django中暴露密码
1
A
回答
3
这取决于谁有读取存储库的权限,但通常不要将密码放入版本控制中。它可能更好地把它放在一个单独的文件中像password.py
只与密码,就像这样:
password = 'asdasd'
和import
或execfile
这在settings.py
。然后,您可以将password.py
添加到您的.gitignore
。
2
假设您的数据库只能从一台特定的主机访问,即使如此,您为什么要给潜在的攻击者提供另一条信息?假设你将它部署到共享主机上,并且我有一个帐户,那么只需登录到我的帐户就可以连接到你的数据库。另外,根据你是谁写这个和他们需要经历什么样的审计(PCI,州审计等),这可能是不允许的。
我会尝试找到一种方法来检查密码。
相关问题
- 1. 加密暴露在比萨吗?
- 2. 暴露在Drupal
- 3. 暴露在Drupal
- 4. 即成文件,而不暴露在Django
- 5. 使用密码取消保护工作表,而不暴露宏中的密码
- 6. 如何防止在使用RGoogleDocs时暴露我的密码?
- 7. java属性 - 暴露还是不暴露?
- 8. 在webpack中暴露UIkit
- 9. 将django admin暴露给用户。有害?
- 10. 在不暴露明文的情况下更改加密密钥
- 11. UPS包裹跟踪API - 如何不暴露密码?
- 12. 在openssl lib的日志中暴露Diffie Hellman共享密钥
- 13. 在django中暴露多个数据库admin
- 14. wmi密码泄露
- 15. 在Mule上暴露WebService
- 16. 暴露比3000 Express和码头工人
- 17. 如何暴露asp.net代码web.config?
- 18. WCF暴露为RESTful
- 19. 暴露net.tcp端点
- 20. 如何建立在HTML5 SOAP客户端不暴露其用户名和密码?
- 21. AWS SES - 连接到boto集而不暴露代码中的访问密钥
- 22. 在Rails中暴露web服务API
- 23. 在MVC应用程序中暴露OData
- 24. 在聚合物中暴露API
- 25. 在Silverlight中暴露UserControl的XAML
- 26. 如何在python中暴露源代码来分发包?
- 27. 在Django中重置密码
- 28. 在Django中掩盖密码
- 29. 将C++类暴露给QML
- 30. Webkit GTK:暴露HTTP标头