Discussion :

[poussinvert]

Bonjour,
Je souhaiterais avoir une petite information concernant la sécurité à la connexion à une base de données Mysql.

Je souhaite créer une sorte de "petit CMS", pour me faire un peu la main. Pour ce qui est de la connexion à la base de données, il faut que je précise le mot de passe de la base... en clair, non ?
J'ai téléchargé un petit CMS appelé "wolf cms" pour voir comment c'est fait, et ils ont créé un fichier de configuration à la racine, avec le mot de passe en clair dedans :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
define('DB_DSN', 'mysql:dbname=wolfcms;host=localhost;port=3306');
define('DB_USER', 'root');
define('DB_PASS', 'monpass');
define('TABLE_PREFIX', '');

Est-ce vraiment sécurisé ?
Est ce qu'il existe des attaques qui peuvent voir l'intégralité de ce fichier ?

Merci pour vos réponse

[sabotage]

Les éléments de connexion sont forcemment écrits quelque part.
Le contenu du fichier .php n'est pas distribué. Tu peux de plus le mettre dans une arborescence hors du serveur web.

[ABCIWEB]

...et si par facilité tu mets le fichier de connexion dans l'arborescence web rien ne t'empêche de le mettre dans un dossier protégé par un .htaccess avec la mention 'deny from all'. On utilise préférentiellement la solution décrite par sabotage et sinon celle-ci.

Après si tu ne protège pas du tout ton fichier .php c'est théoriquement plus risqué mais pratiquement tant que c'est un fichier .php on ne peut pas lire son contenu sauf si on peut le télécharger...

[ericd69]

salut,

un moyen beaucoup plus sécurisé existe c'est d'employer un utilisateur mysql qui n'a que le droit "execute" sur une base où tu n'appelles que des procédures stockées (tu te crées un API avec)...
l'utilisateur ne pouvant pas faire de select, insert, delete, update, create, show, etc...
à toi, ensuite, de sécuriser les procédures via un système d'identification et de droits lié à l'utilisateur applicatif (celui qui s'identifie dans ton cms) pour savoir s'il peut ou pas exécuter les actions de la procédure appelée...
tu isoles complétement php de mysql... aucune information sur les tables n'apparait ainsi... tu peux même tracer plus facilement les actions entièrement coté mysql...
mais ça implique de te mettre au procédural coté mysql ce qui peut te paraitre plus compliqué...

[poussinvert]

Ok, merci pour vos infos.
Je suis tombé sur ça aussi : http://www.developpez.net/forums/d11...-base-donnees/ qui complète aussi ce que vous dites.

[trollfarceur]

Moi perso j'ai mis mon dossier de config dans un dossier et protege par un htaccess avec acces par mot de passe

[ericd69]

Moi perso j'ai mis mon dossier de config dans un dossier et protege par un htaccess avec acces par mot de passe

rien n'empêche donc un mec de brute forcer ton dossier...

celui-ci doit être si possible hors de la zone web "visible" (à partir généralement du dossier www) et uniquement accessible via include, ce qui limite les risques de compromission...