Eu sou novo em usar o postgresql junto com o php, mas algo não parece certo aqui. 9/10 exemplos que vi usando o parâmetro password em texto sem formatação.
Por exemplo, aqui está uma amostra
$con = pg_connect("host='localhost' dbname='testdb' user='postgres' password='password');
Essa prática é comum? Isso representa um risco de segurança? Em caso afirmativo, existe uma maneira melhor de passar o valor password ?
É uma prática comum. Certifique-se de que o servidor esteja seguro e também é possível ativar postgres para escutar no SSL, para que a senha de texto simples em trânsito seja criptografada. Você também pode alterar a senha e enviá-la para o postgres. Veja o link abaixo sobre os métodos de autenticação.
Veja isso para obter mais informações - link
Se você está muito preocupado com a segurança, o postgres permite mais segurança de várias maneiras. Veja aqui - link
Se você não usou a senha de texto sem formatação, porque não há nenhum desafio neste caso, qualquer símbolo usado também pode ser a senha do ponto de vista de um invasor (mesmo que seja um hash, é tudo o que você precisa autenticar). Se você estiver preocupado com a segurança, encapsule a conexão com o banco de dados em SSL.
Tags postgresql php5