初めて投稿させていただきます。

mysqlにてec-cubeを動かしているのですが、
db_password を暗号化した状態で接続する
方法がわかりません。

config.php 内のdb_password は暗号化された
ものを記述すればいいであろうと想定しているのですが、
それ以外には何をすれば良いかわからないです。

ec-cube:2.12.6 or 2.13.1
mysql:5.5

何卒よろしくお願いいたします。

define('DB_USER', 'eccube');
define('DB_PASSWORD', '********');
define('DB_SERVER', 'localhost');
define('DB_NAME', 'eccube');

とあった時に、********が暗号化されていないので、
暗号化した状態で表示し、
DBにも接続できる状態にしたいということですか??

ご返信いただき、ありがとうございます。

＞暗号化した状態で表示し、
＞DBにも接続できる状態にしたいということですか??

はい。その通りです。

********の部分にハッシュ化されたパスワードを
入れてDBと接続することでもいいのですが。
（試したら画面が真っ白になってしまいました）

よろしくお願い致します。

そうですね、
ハッシュ化した値を表示するのは難しいかと思います。
ハッシュ化関数はone_way関数なので
暗号化したら元の戻せません。
(DB接続時にハッシュ化文字列をプレーンテキストに複合して接続するといったアプローチは難しそうです...)

ハッシュ化値をconfig.phpに書き込んでも
異なるパスワードでDB接続しようとするので
うまくページは開けません。

でもそのディレクトリを表示した際に
DB接続情報が漏えいするので気にはなりますが、
僕は我慢しています。

ご返事ありがとうございます。

一般的には皆さんそのあたりをどうされていらっしゃる
のでしょうか。

平文でパスワードをそのまま記述されている
ことが多いのでしょうか。

通常は平文ですね。。

もうちょっと安全に運用するには、Apache の httpd.conf に以下のように書いておくと、



PHP では $_SERVER['DB_PASSWORD'] で、該当の値を取得できるので、 参照可能なユーザーを root のみに限定することは可能です。

ご返事ありがとうございます。

私が契約しているレンタルサーバーが

共用サーバーのためhttpd.confに記述が

できなかったため、

.htaccessにてアドバイスいただいた方法を

書いてみました。

これだと余り意味がないでしょうか？

.htaccess のパーミッションにもよりますが、おそらく config.php と同じパーミッションになっていると思いますので、あまり意味がないと思います。