51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

如何优雅的处理程序中的用户名密码等敏感信息

作者:somenzz
安全 数据安全
我曾经写过一个用 Python 发送 html 邮件及附件的程序,分享在了网络上,里面的收件人没有做隐藏处理,用的是我自己最常用的邮箱。然后,苦恼随之而来:我会不停的收到测试邮件(垃圾邮件)。问了其中一个发件人才知道有培训机构用这个教学,学员什么都不改直接运行,于是我就不停的收到邮件。

 [[427104]]

你可能不知道敏感信息硬编码在程序中会带来多大的麻烦。

我曾经写过一个用 Python 发送 html 邮件及附件的程序,分享在了网络上,里面的收件人没有做隐藏处理,用的是我自己最常用的邮箱。然后,苦恼随之而来:我会不停的收到测试邮件(垃圾邮件)。问了其中一个发件人才知道有培训机构用这个教学,学员什么都不改直接运行,于是我就不停的收到邮件。

这点麻烦与泄漏密码相比,还是小的。就有人不小心把含有用户名密码的程序上传到开源网站上。

解决这个问题,就需要让敏感信息和程序代码解耦,敏感信息放在一个文件中,程序代码放在另一个文件中,发布程序上避免上传敏感信息。通常来说,有两种方式:

1、配置文件。

你可以使用标准库 configparser[1] 来解析配置文件。好处就是你不仅可以读取配置文件,还可以更新配置文件。

比如有这样的一个 example.ini 配置文件:

  1. [DEFAULT
  2. ServerAliveInterval = 45 
  3. Compression = yes 
  4. CompressionLevel = 9 
  5. ForwardX11 = yes 
  6.  
  7. [bitbucket.org] 
  8. User = hg 
  9.  
  10. [topsecret.server.com] 
  11. Port = 50022 
  12. ForwardX11 = no 

然后就可以这样来读取:

  1. config = configparser.ConfigParser() 
  2. config.read('example.ini'
  3. print(config['bitbucket.org']['User']) 

你还可以使用一个 python 文件来当配置文件,最优雅的方式就是模仿 Django,搞一个默认的 settings.py,和用户自定义的 settings.py 用户自定义的配置可以覆盖默认的配置。这种方式非常简单,没有记忆负担,就像写 Python 代码一样。

2、环境变量。

环境变量(environment variables)是指在操作系统中用来指定操作系统运行环境的一些参数,比如说安装 Python 的过程中是否需要将 Python 可执行程序添加到 Path 中,这个 Path 就是一个环境变量。

在 Linux 或 Mac 中,可以这样打印一个环境变量:

  1. echo $PATH 

我们也可以把敏感信息写在操作系统的环境变量中,然后用 Python 读取它:

  1. >>> import os 
  2. >>> os.environ["HOME"
  3. '/Users/aaron' 
  4. >>> os.getenv("HOME1111",'/home/aaron'
  5. '/home/aaron' 
  6. >>> api_key = os.getenv("SECRET_API_KEY""Not Exists")  

但是这样做有缺点,你需要先 export key = value 来先设置一个环境变量,或者需要先去 .bashrc、.zshrc 等配置文件去添加你需要的环境变量,如果名称相同,可能会影响其他程序用到的同名环境变量。

毕竟优雅的方式就是在项目目录中新建一个 .env 的环境变量配置文件,写入自己的配置信息,比如 .env 文件:

  1. PROJECT_ID = "project_id" 
  2. API_KEY = "api_key" 

然后借助于三方库 dotenv:

  1. pip install python-dotenv 

然后就可以这样读取它:

  1. import os 
  2. from dotenv import load_dotenv 
  3.  
  4. # load_dotenv 将会查找一个 .env 文件,一旦找到,就会加载到环境变量中 
  5.  
  6. load_dotenv() 
  7.  
  8. PROJECT_ID = os.getenv("PROJECT_ID"
  9. API_KEY = os.getenv("API_KEY"

而且这种方式不会影响其他任何程序。还有一点需要注意的是要把 .env 添加到你的 .gitignore。

如果你想对 .env 文件进行命名,也是可以的,比如说 dev.env,那么可以这样写:

  1. from dotenv import dotenv_values 
  2. config = dotenv_values("dev.env")   
  3. config.get("PROJECT_ID"

甚至多个 env 文件也可以:

  1. import os 
  2. from dotenv import dotenv_values 
  3.  
  4. config = { 
  5.     **dotenv_values(".env.shared"),  # load shared development variables 
  6.     **dotenv_values(".env.secret"),  # load sensitive variables 
  7.     **os.environ,  # override loaded values with environment variables 

更多用法请参考python-dotenv[2]

最后

本文介绍了配置文件和环境变量两种避免硬编码敏感信息的方法,在发布程序时注意对保护敏感信息,加入 .gitignore,如果有帮助请点赞、在看、关注支持。

责任编辑:武晓燕 来源: Python七号
用户名密码信息
相关推荐
摒弃传统用户名密码登录
IT和安全团队需要加强最基本的访问形式,以防范不断变化的新兴安全风险。

2022-06-24 08:48:47

用户名密码登录
如何对Hibernate.cfg.xml用户名密码进行加密
本文讲述的是如何对Hibernate.cfg.xml中的用户名和密码进行加密,想必你一定对此很感兴趣。下面是详细的的介绍。

2009-06-18 15:05:11

MongoDB权限管理之用户名密码操作
MongoDB默认是不需要输入用户名和密码,客户就可以登录的。但是出于安全性的考虑,我们还是要为其设置用户名和密码。本文主要介绍的是MongoDB权限管理之用户名和密码的操作,希望能对您有所帮助。

2011-07-22 15:01:28

MongoDB权限管理
忘记Ubuntu用户名密码解决方法
本文讲述了忘记Ubuntu用户名和密码的解决方法.

2009-08-18 13:52:57

Ubuntu用户名密码
Fedora驱动程序设置缺省用户名
进入控制台,输入Listsvc命令后回车,在屏幕上会出现当前系统中已有的所有服务和Fedora驱动程序以及其状态说明。找到需要禁用的可疑服务或Fedora驱动程序,输入命令disable需要禁用的程序或服务,回车后屏幕上会显示出该服务以前的状态和完成后的状态如果想雇用某个程序或服务,则需要键入Enable需要禁用的程序或服务,回车后即可。

2010-02-25 16:09:15

Fedora驱动程序
增加SQL用户名方法
SQL用户名是建立数据库后必须要有的,下面就为您详细介绍如何增加SQL用户名,供您参考学习,希望对您学习SQL数据库有所帮助。

2010-09-27 14:48:12

SQL用户名
Myeclipse Flex Svn如何修改用户名密码技术分享
本文向大家介绍一下用MyeclipseFlexSvn修改用户名和密码,很多用户应该都了解Myeclipse了,这里我发表一下个人理解,和大家讨论讨论。

2010-05-24 14:00:43

Flex Svn
教您如何修改oracle用户名
在使用oracle数据库的过程中,有时要修改oracle用户名,下文就教您一个修改oracle用户名的方法,供您参考学习。

2010-10-29 11:51:30

oracle用户名
6个简单方式来查看Linux用户名和其他信息
这是一个非常基础的话题,在Linux中,每个人都知道如何使用id来查找用户信息。一些用户也从etcpasswd文件中过滤用户信息。

2018-08-27 10:00:29

Linux用户名命令
Oracle默认用户名密码速查表
安装Oralce系统是,由于时间所限,可能无法将全部的身份和密码重设,特将Oracle默认用户名密码列表如下,希望对您有所帮助。

2009-10-26 16:08:40

Oracle默认用户名
150多亿个用户名密码被泄露
当前,至少有150亿个凭证在各种黑市和论坛上流传,这为网络犯罪分子提供了接管帐户攻击和身份出租服务的便利。

2020-07-11 09:26:16

数据泄露黑客网络攻击
俄罗斯黑客公布500万Gmail用户名密码
北京时间9月11日早间消息,俄罗斯黑客刚刚在网上公布了将近500万个Gmail邮箱及其相应的密码,但好在其中很多都是旧密码,不会对用户产生影响。

2014-09-11 09:25:19

盘点常用路由器默认初始用户名密码
本文为大家总结了各种常用路由器默认初始用户名和密码,希望对于忘记自己路由器账户信息的读者能够在以下内容中找到属于你的路由器默认初始用户名和密码。

2011-09-06 10:36:44

Myeclipse Svn中用户名密码修改问题专家详解
在向大家详细介绍MyeclipseSvn之前,首先让大家了解下Svn,然后全面介绍MyeclipseSvn修改用户名和密码问题,希望对大家有用。

2010-05-31 09:10:20

Myeclipse S
金融用户敏感数据如何优雅地实现脱敏?
Sensitive提供了基于注解的方式,并且内置了常见的脱敏方式,便于开发。

2023-06-06 08:51:06

新WiFi标准可自由切换 无需输入用户名密码
随着新WiFi技术的诞生,从明年起用户将可以在移动网络和WiFi网络之间进行自动切换,而无需再输入用户名和密码进行验证。

2013-05-29 09:47:45

Oracle数据库用户名重建索引
如果你管理的Oracle数据库下某些应用项目有大量的修改删除操作,数据索引是需要周期性的重建的。它不仅可以提高查询性能,还能增加索引表空间空闲空间大小。在ORACLE里大量删除记录后,表和索引里占用的数据块空间并没有释放。重建索引可以释放已删除记录索引占用的数据块空间。

2011-05-26 10:11:24

Oracle数据库索引
面试官问,如何在十亿级别用户检查用户名是否存在?
Redis布隆过滤器的方案为大数据量下唯一性验证提供了一种基于内存的高效解决方案,它需要在内存消耗和错误率之间取得一个平衡点。当然布隆过滤器还有更多应用场景,比如防止缓存穿透、防止恶意访问等。

2023-10-30 10:40:29

检查用户app注册数据库
Oracle用户名重建索引方法探究
根据Oracle用户名重建索引可以提高程序查询性能,增加索引表空间的空闲度,有效利用重建索引还可以释放已删除记录索引的空间占用。

2009-10-21 16:34:03

Oracle用户名重建索引
手把手教你给 Kubernetes Dashboard 增加用户名密码认证功能
如果我们部署的是测试或者实验环境的话,每次都要输入一长串的token还是很方便的。所以,这里我们介绍如何使用用户名和密码的方式来登录Dashboard服务。

2021-05-20 12:01:59

Kubernetes 密码认证Linux
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服