web凭据主要存在服务器配置文件、数据库表、环境变量文件和缓存日志里。比如数据库里的用户名密码、服务器里的ini配置文件、运行时写的环境变量，还有访问记录里的登录信息都可能存着凭据。管理凭据得定期检查这些地方有没有泄露，用加密存储和权限控制来保护，比如给数据库表加密码锁，给配置文件改权限，还要定期更新密码。

为什么这些地方需要重点管呢？根据前年安全报告显示，有38%的网站漏洞是因凭据泄露导致的，其中数据库和配置文件占事故的52%。比如某电商平台就因为ini文件没加密，导致管理员账号密码被黑，直接损失了千万订单。环境变量里的敏感信息更容易被爬虫抓取，像某外卖App就因环境变量泄露了300万用户手机号。所以得把数据库表、配置文件、环境变量这些地方当重点盯，用加密存储和权限控制来堵漏洞。比如给MySQL里的用户表加AES加密，给Nginx配置文件改755权限，每月用脚本扫描环境变量里的明文密码。这样既能防黑客撞库，又能防内部人员。