[SQL CONNECT] Cacher son mot de passe ? [Résolu]

Lideln · 04/07/2006, 00h21

Bonsoir !

Je suis tout débutant en PHP/MySQL, et mon premier problème (sûrement pas le dernier

) vient de la connexion à la base de données.

J'utilise, dans un script PHP :
$connexion = mysql_connect("mysql.mabase","login","passwd");

Pour l'instant je n'ai qu'un seul script : il vérifie qu'un pseudo n'existe pas déjà dans la base (mais apres bien sur d'autres scripts pour : ajouter un membre, etc etc)

Mais j'ai lu sur un site qu'il fallait surtout pas mettre son mot de passe MySQL dans le script PHP, ce que je peux sans doute comprendre.

Alors d'où ma question : si on met pas notre mot de passe de connexion à la BDD dans le script PHP, on le met ou ? (histoire que ce soit sécurisé et que le 1er pirate amateur vienne pas pourrir mon site

)

Merci de votre aide

Lideln

Fladnag · 04/07/2006, 10h08

alors deja, faut pas etre un pirate amateur pour trouver ton mot de passe, meme ecrit en clair dans ton code php... mais ca reste faisable.

Une bonne solution consiste a :

* creer un repertoire "secure" (ou un autre nom) dans ton arborescence web
* creer dans ce repertoire 2 fichiers :
° un fichier nommé ".htaccess" contenant juste la phrase "Deny from all"
° un fichier nommé "config.php" (ou un autre nom) contenant :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
<?php
$SQLhost = 'localhost';
$SQLpass= 'ton_pass';
$SQLlogin= 'ton_login';
?>

Puis, au lieu de faire mysql_connect(...), tu fait :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
include('secure/config.php');
mysql_connect($SQLhost, $SQLlogin, $SQLpass) or die(mysql_error());

L'avantage est que ton mot de passe est toujours "en clair" dans le code (dans le fichier config.php) mais il est protégé par un .htaccess qui est la protection la plus bas niveau que tu puisse mettre (.htaccess est géré par le serveur web).
Pour t'en convaincre, il suffit d'aller sur http://tonsite.com/secure/ et tu obtiendras un beau message d'erreur comme quoi tu n'a pas le droit d'acceder a ce repetoire (cela est provoqué par le .htaccess)

stunti · 04/07/2006, 10h11

ou mieux, tu mets le fichier config dans un repertoire en dessous de la racine de ton site.
Comme ca, pas d'acces par le serveur web.

Eusebius · 04/07/2006, 10h12

Citation:

Envoyé par stunti

ou mieux, tu mets le fichier config dans un repertoire en dessous de la racine de ton site.
Comme ca, pas d'acces par le serveur web.

En faisant attention qu'il soit quand même dans le open_basedir de PHP

stunti · 04/07/2006, 10h14

Bien sur

Lideln · 04/07/2006, 10h49

Hello !

Merci pour vos réponses !
Je vais faire ca donc, utiliser le deny from all (en fait j'ai tous mes scripts dans un dossier spécial, et j'avais mis ce .htaccess, mais quand j'ai appelé le script depuis flash, impossile d'y accéder snif, normal me direz vous ^^)

Merci encore (j'ai pas capté le truc de open_basedir mais bon dans l'ensemble sinon voui

)

A+ pour de nouvelles questions

Bonne journée,

Lideln

ps : Eusebius impec ton avatar...

04/07/2006, 00h21	#1
Lideln Membre du Club Inscription : juillet 2006 Messages : 127 Détails du profil Informations personnelles : Localisation : France, Paris (Île de France) Informations forums : Inscription : juillet 2006 Messages : 127 Points : 46 Points : 46	[SQL CONNECT] Cacher son mot de passe ? Bonsoir ! Je suis tout débutant en PHP/MySQL, et mon premier problème (sûrement pas le dernier ) vient de la connexion à la base de données. J'utilise, dans un script PHP : $connexion = mysql_connect("mysql.mabase","login","passwd"); Pour l'instant je n'ai qu'un seul script : il vérifie qu'un pseudo n'existe pas déjà dans la base (mais apres bien sur d'autres scripts pour : ajouter un membre, etc etc) Mais j'ai lu sur un site qu'il fallait surtout pas mettre son mot de passe MySQL dans le script PHP, ce que je peux sans doute comprendre. Alors d'où ma question : si on met pas notre mot de passe de connexion à la BDD dans le script PHP, on le met ou ? (histoire que ce soit sécurisé et que le 1er pirate amateur vienne pas pourrir mon site ) Merci de votre aide Lideln
	00

04/07/2006, 10h11	#3
stunti Membre chevronné Inscription : mai 2006 Messages : 521 Détails du profil Informations personnelles : Âge : 33 Informations forums : Inscription : mai 2006 Messages : 521 Points : 602 Points : 602	ou mieux, tu mets le fichier config dans un repertoire en dessous de la racine de ton site. Comme ca, pas d'acces par le serveur web. __________________ If it's not broken, don't fix it. BiliBa Built on top of Zend Framework
	00

04/07/2006, 10h14	#5
stunti Membre chevronné Inscription : mai 2006 Messages : 521 Détails du profil Informations personnelles : Âge : 33 Informations forums : Inscription : mai 2006 Messages : 521 Points : 602 Points : 602	Bien sur __________________ If it's not broken, don't fix it. BiliBa Built on top of Zend Framework
	00

04/07/2006, 10h49	#6
Lideln Membre du Club Inscription : juillet 2006 Messages : 127 Détails du profil Informations personnelles : Localisation : France, Paris (Île de France) Informations forums : Inscription : juillet 2006 Messages : 127 Points : 46 Points : 46	Merci :) Hello ! Merci pour vos réponses ! Je vais faire ca donc, utiliser le deny from all (en fait j'ai tous mes scripts dans un dossier spécial, et j'avais mis ce .htaccess, mais quand j'ai appelé le script depuis flash, impossile d'y accéder snif, normal me direz vous ^^) Merci encore (j'ai pas capté le truc de open_basedir mais bon dans l'ensemble sinon voui ) A+ pour de nouvelles questions Bonne journée, Lideln ps : Eusebius impec ton avatar...
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email