Mémoriser mot de passe ODBC

[nicoaix]

Bonjour,
J'ai une connexion ODBC vers une base de données SQL Server 2005.
Elle fonctionne parfaitement. Cependant je souhaiterait enregistrer le mot de passe associé au compte utilisateur pour cette connexion.
Comment faire?

Cela m'est nécessaire pour utiliser cette connexion dans une application web dans laquelle je ne souhaite pas mettre de mot de passe.

Merci.

[mikedavem]

Bonjour,

Il n'est pas possible de faire cela et ceci pour des raisons de sécurité évidente.

++

[nicoaix]

Cela veut dire qu'il faut écrire le mot de passe en dur dans les pages web de mon application...cela me parait encore moins sécurisé!

[mikedavem]

Citation:

Cela veut dire qu'il faut écrire le mot de passe en dur dans les pages web de mon application...cela me parait encore moins sécurisé!

Il faudra simplement l'écrire dans un fichier config de votre application.
Disons que stocker un mot de passe ODBC sur une machine en local en fait une cible de choix potentielle. Stocker le mot de passe dans l'application ouvre également une faille de sécurité évidente mais vous n'aurez pas le choix.

Si vous voulez vraiment faire de la sécurité il faudra passer par une méthode d'authentification autre comme Windows. Il est même possible de chiffrer votre chaîne de connexion directement dans le fichier de configuration (comme le fait SSRS par exemple).

++

[WOLO Laurent]

Peux-tu par contre nous décrire ton problème plus en détail pour que nous puissions vous proposer une alternative. De quoi sera-faite ta DAL, en dotnet ?

[nicoaix]

J'ai une application web en php hébergée dans mon LAN et qui est utilisée uniquement sur mon LAN.
Dans cette application je me connecte sur une base sqlserver (aussi sur mon LAN) en utilisant une connexion odbc présente sur le meme serveur web qui héberge mon application.

Ma connexion php est effectuée par:
$linkappli = odbc_connect($cnx_db_name,'','',SQL_CUR_USE_ODBC) or die("Erreur de connexion");
$cnx_db_name est une variable contenant le nom de ma connexion ODBC sur mon serveur web.

Cette connexion en php ne fonctionne pas. Par contre si je mets dans les argument n° 2 et 3 de ma fonction odbc_connect les login et mot de passe de connexion à ma base sqlserver cela fonctionne.

Ce que je voudrais donc c'est enregistrer ce login/mot de passe dans la connexion ODBC pour ne pas les avoir en dur dans le code de ma page php.

[WOLO Laurent]

Tu peux utiliser l'authentification Windows et configurer ton odbc pour ne pas fournir un compte et un mot de passe. Il me semble que c'est la seule piste que tu as pour éviter le codage en dur.

[mikedavem]

Citation:

Envoyé par WOLO Laurent

Tu peux utiliser l'authentification Windows et configurer ton odbc pour ne pas fournir un compte et un mot de passe. Il me semble que c'est la seule piste que tu as pour éviter le codage en dur.

+1

ou comme je l'ai précisé plus haut , chiffrer la chaîne de connexion dans les fichiers de config.

++

[WOLO Laurent]

Citation:

Envoyé par mikedavem

+1

ou comme je l'ai précisé plus haut , chiffrer la chaîne de connexion dans les fichiers de config.

++

Sauf que vous n'avez pas utiliser le bouton voter

La question reste à savoir si php gère les fichiers de conf ?

[nicoaix]

php gère TOUT!!

Je vais étudier la piste identification windows sur laquelle nous étions effectivement déjà entrain de tester...

Merci.

Je ferais un retour ici dès que j'ai une solution valide et valable.

[aieeeuuuuu]

Citation:

Envoyé par nicoaix

Cela veut dire qu'il faut écrire le mot de passe en dur dans les pages web de mon application...cela me parait encore moins sécurisé!

vous n'etes pas obligé de mettre en dur dans les pages php, vous pouvez mettre vos parametres de connexion dans des fichiers à l'extérieur de la racine de votre serveur web, et faire un include de ce fichier.

Niveau sécurité, tant que votre serveur web n'est pas compromis, il n'y a pas de souci !

[WOLO Laurent]

N 'existe-t-il pas une possibilité de chiffrages du fichier comme dans IIS et .Net ? l'équivalent des fichiers de web.conf ?

[WOLO Laurent]

Citation:

Envoyé par aieeeuuuuu

Niveau sécurité, tant que votre serveur web n'est pas compromis, il n'y a pas de souci !

Attention la compromission peut venir de l'intérieur, il ne faut pas penser extérieur seulement !

[aieeeuuuuu]

Citation:

Envoyé par WOLO Laurent

Attention la compromission peut venir de l'intérieur, il ne faut pas penser extérieur seulement !

oui, c'est tout à fait vrai, mais ce problème se règle aussi par les droits sur le fichier en question.