[Sécurité] mot de passe sur compte personnel Free [Résolu]

[MorganStern]

Bonjour,

J'ai créé une base de données PostgreSQL sur une page perso Free, afin d'enregistrer des données envoyées par une application.
Comme la base de données Free n'est pas accessible directement depuis l'extérieur, j'utilise des pages en PHP qui écrivent dans la base, et les données sont transmises à ces pages par passage de paramètres dans l'url.

Le problème, c'est que ces pages PHP, pour écrire dans la base de données, utilisent le mot de passe de mon compte Free et que celui-ci est donc mentionné en clair dans un petit fichier "base.php" que les pages PHP lisent pour pouvoir écrire dans la base.

<?
$dbname = 'nomdelabase';
$dbhost = 'localhost';
$dbuser = 'nomdelabase';
$dbpassword = 'motdepasse';
?>

N'importe qui peut lire en clair ce fichier en fouinant dans les répertoires de mon compte. Il ne semble pas possible de changer les droits du fichier.
Comment puis-je protéger ce mot de passe?

Merci d'avance.

[julp]

La fonction open_basedir est active chez Free et ne permet donc pas à un hébergé de lire (et manipuler en général) des fichiers en dehors de son propre espace.


J'espère avoir répondu à la question, Julp.

[MorganStern]

Je ne suis pas sûr de comprendre clairement votre réponse, ne connaissant pas cette fonction open_basedir.
http://www.php.net/manual/fr/ini.cor...i.open-basedir
Même après lecture, je ne vois pas bien le rapport...

En effet, ma crainte était que n'importe qui puisse, en allant dans le répertoire où sont stockés les fichiers PHP, lire le fichier base.php avec le mot de passe de ma base (forcément le même que celui de mon compte).

Or, j'ai essayé de télécharger les fichier php avec "enregistrer sous..." et, effectivement, ça ne fonctionne pas !
J'étais persuadé que c'était possible, car on peut le faire avec d'autres types de fichiers, des PDF et des images par exemple...

Donc, je n'ai rien à faire apparemment.
Je suis dubitatif quand même...

Quoi qu'il en soit, merci.

[LeXo]

non les script php ne sont pas visibles

[julp]

Je vais essayer d'éclaircir et approfondir :

1. vis à vis des "visiteurs" : le code PHP ne leur est pas accessible dans la mesure où celui-ci est interprété par le serveur, ils recoivent donc uniquement du code HTML au sens large (texte simple ou encore Javascript). Ils pourront donc toujours chercher à éditer la source de la page, ils n'obtiendront uniquement le code HTML résultant de l'interprétation du code PHP.
2. vis à vis des autres hébergés de Free : la problématique sur un serveur mutualisé (= hébergement de plusieurs utilisateurs) c'est qu'ils peuvent, sans précautions particulières de la part de l'hébergeur, accéder à l'ensemble des fichiers du système suivant les permissions de ceux-ci. Un script PHP a, en temps normal, besoin des droits de lecture pour le serveur Apache (donc catégorie autre en général puisque vos fichiers sont uploadés sur un utilisateur système qui vous est propre). Par conséquent, sans open_basedir (ou safe_mode) un autre hébergé pourrait très bien lire votre fichier de configuration et réutiliser les informations qui y figurent. (éventuellement la lecture d'un tutoriel sur les permissions des fichiers sous Linux/Unix vous permettrait de comprendre ce point).

Julp.

[MorganStern]

Merci pour ces précisions. Ma crainte concernait effectivement les visiteurs, et non les autres hébergés. Je n'avais même pas songé à ce problème, en vérité. Je vois maintenant le problème que vous évoquiez.