Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
AES_ENCRYPT() - comment cacher la clé?
Bonjour,
En fait tout est dans le titre.
J'ai une application web en php et j'ai crypté toute la base de données avec AES_ENCRYPT(). Donc même l'hébergeur ne peut pas lire le contenu.
Ce qui m'ennuye c'est que la clé est dans le code. Par conséquent, l'hébergeur peut (pourrait) facilement la récupérer et de fait, lire la BD.
J'imagine que je ne suis pas le premier à me poser la question.
Est-ce qu'il y a un moyen de cacher cette clé?
Merci
salut,
je suis pas sur que ton approche soit bonne...
pourquoi crypter toute ta base avec une seule clé?
soyonspensez à mettre
quand votre problème est résolu ou à utiliser
pour les réponses pertinentes...
ne posez pas de problématique soi-disant simplifiée sur des problèmes que vous n'êtes pas capable de résoudre par respect pour ceux qui planchent dessus... sinon:et à utiliser
pour insérer votre code...
tu peux stocker la clé de chiffrage chiffrée dans un espace de stockage distinct par un quelque chose que tu demandes à ton visiteur. ou tu demandes la clé de chiffrage à ton visiteur mais c'est plus problématique.
malheureusement, si tu ne changes pas ta clé régulièrement, tu ne pourras pas te prévaloir du chiffrage parce que ton hébergeur aura le temps de casser les clés -- si c'est ton hébergeur qui a interet à faire ça: j'en doute --
si c'est un secret industriel que tu veux cacher, la salle serveur sur site est bien meilleure... pour le reste... si c'est sur le web, on espionnera tes connexions d'une manière ou d'une autre et ton chiffrage ne servira à rien.
Je te rappelle que l'hébergeur a access a son /proc donc si ça lui chante de faire des dumps mémoires quand les données sont manipulées en clair
PHP fait nativement la validation d'adresse électronique.
Celui qui a inventé mysql_connect(...) or die() est déjà mort plusieurs fois.
Utilisez le bouton résolu!
Bonjour,
Pour pouvoir relire les données. Si on utilise plusieurs clés, on ne pourra pas relire l'intégralité de la BD.pourquoi crypter toute ta base avec une seule clé?
Ca me semble effectivement une bonne solutiontu peux stocker la clé de chiffrage chiffrée dans un espace de stockage distinct par un quelque chose que tu demandes à ton visiteur.
De fait...si c'est un secret industriel que tu veux cacher, la salle serveur sur site est bien meilleure... pour le reste... si c'est sur le web, on espionnera tes connexions d'une manière ou d'une autre et ton chiffrage ne servira à rien.
Je te rappelle que l'hébergeur a access a son /proc donc si ça lui chante de faire des dumps mémoires quand les données sont manipulées en clair tes efforts seront inutiles.
Merci
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Répondre avec citation
Partager