Trước hết, bạn nên biết rằng bất kể bạn làm gì, nếu kẻ tấn công giành được quyền truy cập vào các tệp máy chủ của bạn, chúng sẽ có thể đánh cắp mật khẩu.
Nếu bạn sử dụng nguồn dữ liệu của máy chủ ứng dụng thì bạn chỉ cần di chuyển vị trí của mật khẩu văn bản rõ sang một tệp khác.
Nếu bạn sử dụng một số hình thức mã hóa để tránh lưu trữ mật khẩu văn bản rõ ràng, ứng dụng của bạn sẽ vẫn phải giải mã nó bằng một mật khẩu khác mà ứng dụng đã có. Nếu kẻ tấn công cố gắng rất nhiều để có được quyền truy cập vào hệ thống của bạn, bạn có thể khá tự tin rằng hắn cũng sẽ biết điều đó. Những gì bạn đang làm là gây bối rối (và có được cảm giác an toàn giả tạo) hơn là thực sự bảo vệ nó.
Một giải pháp an toàn hơn là người dùng cung cấp mật khẩu (hoặc mật khẩu để giải mã mật khẩu DB) trong quá trình khởi động ứng dụng của bạn, nhưng điều đó sẽ khiến việc quản trị thực sự khó khăn. Và nếu bạn đã hoang tưởng (loại bảo mật tốt, không phải loại điên rồ) rằng ai đó có quyền truy cập vào máy chủ của bạn, bạn nên xem xét rằng mật khẩu DB sẽ nằm trong bộ nhớ hệ thống.
Ngoài ra, hãy giữ mật khẩu của bạn trong tệp cấu hình của bạn (mà bạn có thể khá chắc chắn rằng máy chủ sẽ không hiển thị với thế giới bên ngoài), khóa hệ thống của bạn và chỉ cấp cho người dùng cơ sở dữ liệu những quyền tối thiểu cần thiết.
