Как обеспечить безопасность хранения ключа API?

Question

[CrazyMode]

Делаю сайт - личный кабинет.
Работает через апи.
Собственно на сайте хранится ключ, когда делается запрос через curl, через гет или пост, подхватывается ключ, стыкуется со строкой параметров, кодируется md5 и как заголовок отправляется на сервер.
Собственно я полный профан, и пока сделал вот что:
файл db.php с параметрами соединения лежит в папке с .htaccess в котором deny from all.
Доступа к файлу нет. Только если сам сервер спрашивает.
При этом сам ключ не хранится в db.php, ключ находится за пределами папки html. тобишь за пределами поля запроса. Ведь нельзя обратится по такому адресу localhost/../secret/secret.php где ../ это переход на уровень выше, как в файловой системе.
Или можно?
В общем советы для нуба, по защите ключа.

Comments

[Максим Тимофеев]

Ничего не понятно, а именно:
api на вашем сайте? Вы делаете сайт или api? Или и то и то?

файл db.php с параметрами соединения лежит в папке с .htaccess в котором deny from all.

не понятно зачем эта информация? Говорили про ключ апи, потом появился некий файл.
Ключ в базе хранится? Как формируете ключ, как проверятся ключ?

Answer 1

[Сергей Соколов]

Обращаться к файлам на уровень выше обычно можно, и так и делают: папка проекта и в неё подпапка, корень веб сайта:

/var/www/Project/
  .secret_data.php
  public_html/
    index.php  <-- отсюда подключается "../.secret_data.php"

И параметры доступа к БД и ключи API стоит хранить в таком месте. Ещё часто их значения подгружают в массив окружения $_ENV и $_SERVER при выполнении, и оттуда берут при необходимости. Грубо пример .secret_data.php:

$params = array(
  'API_KEY' => '3pyWtP7KYVheJWkftdchJLWhwUcK8Rdw',
  'DB_HOST' => '127.0.0.1',
  'DB_USER' => 'root',
  'DB_PASS' => 'secret',
);
$_ENV = array_merge( $_ENV, $params);
$_SERVER = array_merge( $_SERVER, $params);

Распространённое решение – использовать пакет vlucas/phpdotenv, который загружает «секретные» данные из файла .env

Comments

[Андрей Саныч]

согласен. сейчас практически все фреймворки так и написаны

[CrazyMode]

Нет, вы немного не поняли, то что я могу подключится, это понятно.
Уже так и есть
/var/www/html
html - это стандартная домашняя папка, корень сайта.
А secret.php лежит в папке secret, которая в www.
тобишь каталог www имеет две папки html и secret.

Я просто к тому эффективно ли это? Учитывая что внешние скрипты типа javascript'а не получают его, и во всяких $_SESSION ничего не хранится.

А за vlucas/phpdotenv спасибо, гляну.

[Сергей Соколов]

CrazyMode: о какой эффективности речь? Подключать при каждом запросе файл – да, это нормально. Обычно ещё этот файл с паролями исключают из версионирования (git/svn), а в версиях держат лишь темплейт .env.example где указано, какие значения должны быть заполнены в "боевом" .env

[CrazyMode]

Оки - доки, спасибо за советы.