Tôi cho rằng bạn đang sử dụng Apache.
Đặt dữ liệu bí mật vào một biến môi trường trong /etc/apache2/envvars
, đặt chủ sở hữu thành root và các quyền thành 400.
Kẻ tấn công sẽ phải xâm nhập máy chủ để đặt tay vào khóa của bạn.
Bạn cũng có thể thiết lập một tập lệnh yêu cầu bí mật khi Apache khởi động (gây khó chịu, nhưng thậm chí còn an toàn hơn).
Lưu ý rằng những người có quyền truy cập root sẽ luôn luôn có thể lấy được chìa khóa của bạn và cố gắng giấu chúng chỉ là một giả dược.
Giải pháp giả dược:
- Đặt ứng dụng của bạn ở chế độ không hoạt động theo mặc định cho đến khi bạn ĐĂNG khóa của mình lên trang HTTPS trong cùng một ứng dụng, lưu khóa của bạn vào một biến chung và tiếp tục với công việc kinh doanh của bạn. Bạn phải xem xét vòng đời của quy trình PHP (khi quy trình kết thúc, bạn phải gửi lại khóa của mình).