Protection du mot de passe de mysql

Je tourne un peut en rond avec ce probléme,

En fait au début j'étai persuadé que les paties écrites dans
les balises PHP n'étaient en aucun cas visibles, et qu'auqu'un moyen
ne permet de capter un PHP ???

Mais j'ais lu qu' en fait ce n'était pas fiable a 100%

Alors comment faire ?
quel conseil me donnez vous, et comment faites vous de votre coté :

[Wormus]

C'est le code PHP que tu ne veux pas qu'il soit vu ?

Si c'est ça un client ne peut pas le lire pour la simple et bonne raison qu'il en transformé en HTML avant d'être envoyé chez lui !!

J'aimerai bien voir l'endroit où tu as vu que ce n'est pas fiable à 100%

Bien sur on peut tjr réussir à l'avoir mais là faudrait pirater ton serveur !!!


Dites moi si je me trompe mais je pense pas !


Sinon ton titre de sujet me semble pas en accord avec ta question !!

[Kioob]

Pour limiter les chances que le fichier contenant le mot de passe soit lu, je ne vois qu'une précaution : stocker le fichier en question dans un dossier non accessible à Apache.

Note que ça ne changera pas grand chose ; il ne s'agit là que d'un petit plus, pour éviter les soucis en cas d'un problème avec PHP sur la machine.

Citation:

Envoyé par Kioob

Pour limiter les chances que le fichier contenant le mot de passe soit lu, je ne vois qu'une précaution : stocker le fichier en question dans un dossier non accessible à Apache.

Note que ça ne changera pas grand chose ; il ne s'agit là que d'un petit plus, pour éviter les soucis en cas d'un problème avec PHP sur la machine.

Merci wormus de ta réponse
et toi Kioob, je comprens ce que tu dis la, en effet j'ais toujours peur quand le SERVEUR PHP plante, qu'un bout de code devienne visible !!
avec ton astuce impossible car le include ne marcherait pas

C'est parfait pour moi comme réponse ...

[Kioob]

euh... PHP peut inclure des fichiers qui ne sont pas dans l'arborescence d'Apache hein.... typiquement chez moi j'ai cette arbo :

Apache pointe vers :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

/home/www-DATA/domaine.tld/http/www/

Open_basedir me limite à ça :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

/home/www-DATA/domaine.tld/

Et je peux stocker des données ici par exemple :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

/home/www-DATA/domaine.tld/config/

Ainsi ces scripts peuvent être inclus par PHP, et sont inaccessibles à Apache.

[Wormus]

Ah oui c vrai j'admet j'avais pas pensé qd le PHP plante !! ya effectivement des morceaux de code qui pourrait être visible !
Mais c'est très limité tout de même

[Kioob]

Oui c'est extrèmement rare.... d'autant plus que généralement quand PHP crash, il embarque souvent Apache avec lui...

En tout cas, mon include pointes bien vers un php

1) qui est dans un autre repertoire, mais avec un chtit plus
(tous mes répertoires ont bien sur un index.php qui jettes le visiteur vers l'index du site ...)
2) avec en plus a l'appel ,bon au cas ou j'ais mis dans les PHP appelants

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
 
$Accord=99;
include("xxxxx/wxllllisppppo_m.php");

et dans le include

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
 
<?PHP
IF ( $Accord!=99)
   {
   print "<script language=javascript>window.location=\"index.php\"</script>";
   exit;
   }
 $Serveur = "xxxxxxxxx";
 $User = "xxxxx";
 $Mdp =  "xxxxx";
 $MaBase = "xxxx";
?>

Bon OK c'est presque inutile, mais ça me rassures

[Yogui]

Salut

Sinon, si tu souhaites laisser le fichier de config dans un répertoire accessible par Apache (ou si tu n'as pas le choix, comme c'est le cas chez de nombreux mutualisés), tu peux mettre tes fichiers includes dans un répertoire protégé par un fichier .htaccess : là, oui, c'est sécurisé car tu seras obligé de passer par un include() pour accéder à ces scripts.

Citation:

Envoyé par Kirkis

Salut

Sinon, si tu souhaites laisser le fichier de config dans un répertoire accessible par Apache (ou si tu n'as pas le choix, comme c'est le cas chez de nombreux mutualisés), tu peux mettre tes fichiers includes dans un répertoire protégé par un fichier .htaccess : là, oui, c'est sécurisé car tu seras obligé de passer par un include() pour accéder à ces scripts.

Ah oui mais voila avec ce type de répertoire un include ne peut se faire qu'avec login mot de passe donc ceux ci seraient dans le php appelant

[Yogui]

Tu vas bien laisser quelques fichiers PHP en accès sur ton serveur, je présume, non ?

Ceux qu'il faut protéger d'un accès distant direct sont tes fichiers de configuration, ainsi éventuellement que les fichiers de fonctions etc. En bref, tous les fichiers à inclure.

Je te proposais de les situer dans un répertoire à part (mettons que nous l'appelions includes/, càd comme le fait tout le monde) et que tu copies dans ce même répertoire un fichier .htaccess qui te servira à interdire purement et simplement l'accès distant à ce répertoire.

Ainsi, seules les actions entreprises par le serveur pourront accéder à ces fichiers protégés. Faisons confiance à Apache pour la sécurité, je pense que c'est suffisant.

En passant, le fichier .htaccess ne signifie pas nécessairement "accès par mot de passe". Il peut servir à restreindre l'accès, à l'interdire ou à tout plein de choses entre les deux. Un login et mot de passe ne sont pas obligatoires. Tu peux sereinement placer les infos sensibles (login et mot de passe) dans un fichier includes/config.php et protéger l'accès à ce répertoire includes/ par la technique du .htaccess correctement écrit.

On voit bien que je n'ais que trés mal utilisé les .htaccess

Tu m'ouvres plein d' horizons je vais aller lire les docs sur le sujet mais au cas ou, accepterais tu de me mettre TOUT lse contenu d'un .htacces dont le seul but serait interdie l'accés distant ?

Merci encore pour tes réponses

[Yogui]

Oh, pas de problème :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

deny FROM ALL

Sans avoir vérifié, cela devrait ressembler à cette simple ligne.
À ton service !

deny from all

Pffffffff ... c'est tout ? génial
je test de suite ...
encore mille mercis