[SQL] Connexion visiteur ?

brolon · 25/07/2007, 10h45

Bonjour à tous,

je suis en train de réaliser un petit site pour mon club de football, hébergé sur free.fr. Et je me pose une question existentielle (de débutant) : "comment gérer les connexions des visiteurs ?"

C'est-à-dire :
- quel mot de passe utiliser ? (Pas celui que j'utilise pour me connecter quand même ?)
- où le stocker dans les fichiers ?
- plusieurs visiteurs peuvent-ils se connecter en même temps avec un même mot de passe ?

Petite précision : les visiteurs sont anonymes et ne font que visiter une page qui rapatrie des articles stockés dans la BdD. Ils peuvent également ajouter des commentaires sur ces articles (mais sans identification -> juste le choix d'un pseudo ... un peu comme sur les skyblogs).

D'avance merci à vous.

PS : si mes propos manquent de clarté, faites-moi le savoir

koopajah · 25/07/2007, 10h53

Bonjour !!

Puisque tu indiques que les utilisateurs n'ont pas de mot de passe quand ils postent un message et que lorsqu'ils regardent le site ils sont en anonymes pourquoi voudrais-tu stocker un nom d'utilisateur?

Est-ce que tu parles de celui de la base de données? Dans ce cas, ca sera dans ton code PHP qui est lui meme exécuté coté serveur donc ils ne pourront pas y avoir accès juste en se connectant au site!

Essaies juste d'être un peu plus précis si je n'ai pas été assez clair !

brolon · 25/07/2007, 11h08

Je me doutais bien que je n'étais pas très clair.

Voici comment je vois les choses (certainement pas de la bonne manière

) :
- j'ai une page "accueil.php" qui affiche des articles contenus dans une BdD. Pour les afficher, elle doit se connecter à ma BdD. Mais où mettre le MdP ? Et lequel utiliser ? Celui que j'utilise pour PhpMyAdmin ?
- pour chaque article, il y a un lien "ajouter commentaire" qui ouvre une fenêtre contenant un formulaire contenant les champs "auteur, mail, contenu". Après avoir rempli ces champs, l'utilisateur clique sur "enregistrer", qui doit effectuer l'INSERT dans ma BdD. Ici encore je me pose les mêmes questions.

Désolé de faire mon boulet mais c'est mon premier essai avec Php/MySql.

koopajah · 25/07/2007, 11h16

Il faut bien commencer quelque part, et c'est important de se poser ce genre de questions, ça prouve que tu fais un peu attention à la sécurité !

Comme je l'ai dit plus haut, la connexion à la base de données est faite par le script php lui meme, qui est exécuté sur ton serveur (chez free donc pour toi). Tu vas donc bien utiliser le meme mot de passe que celui que tu utilises pour phpmyadmin. Tu peux le mettre dans ton script directement puisque celui-ci sera interprété par Php et Apache et donc non accessible par quelqu'un de l'extérieur.
Il me semble qu'il est conseillé de stocker les mots de passes en dehors de ton répertoire local (pour pas que quelqu'un ait acces au fichier depuis l'extérieur) mais je n'ai pas vraiment compris le risque encouru (vu que si Apache est down tu n'y as pas accès, il faudrait que seul PHP soit down sur le serveur free...). Peut etre quelqu'un peut il te préciser cela?

Ensuite pour l'insertion c'est la meme chose, le point critique ce sont les injections SQL et pour ca il faudra que tu penses a utiliser mysql_real_escape_string()

25/07/2007, 10h45	#1
brolon Membre à l'essai Inscription : juillet 2007 Messages : 108 Détails du profil Informations forums : Inscription : juillet 2007 Messages : 108 Points : 21 Points : 21	[SQL] Connexion visiteur ? Bonjour à tous, je suis en train de réaliser un petit site pour mon club de football, hébergé sur free.fr. Et je me pose une question existentielle (de débutant) : "comment gérer les connexions des visiteurs ?" C'est-à-dire : - quel mot de passe utiliser ? (Pas celui que j'utilise pour me connecter quand même ?) - où le stocker dans les fichiers ? - plusieurs visiteurs peuvent-ils se connecter en même temps avec un même mot de passe ? Petite précision : les visiteurs sont anonymes et ne font que visiter une page qui rapatrie des articles stockés dans la BdD. Ils peuvent également ajouter des commentaires sur ces articles (mais sans identification -> juste le choix d'un pseudo ... un peu comme sur les skyblogs). D'avance merci à vous. PS : si mes propos manquent de clarté, faites-moi le savoir
	00

25/07/2007, 10h53	#2
koopajah Membre Expert Inscription : janvier 2005 Messages : 2 288 Détails du profil Informations forums : Inscription : janvier 2005 Messages : 2 288 Points : 2 287 Points : 2 287	Bonjour !! Puisque tu indiques que les utilisateurs n'ont pas de mot de passe quand ils postent un message et que lorsqu'ils regardent le site ils sont en anonymes pourquoi voudrais-tu stocker un nom d'utilisateur? Est-ce que tu parles de celui de la base de données? Dans ce cas, ca sera dans ton code PHP qui est lui meme exécuté coté serveur donc ils ne pourront pas y avoir accès juste en se connectant au site! Essaies juste d'être un peu plus précis si je n'ai pas été assez clair !
	00

25/07/2007, 11h08	#3
brolon Membre à l'essai Inscription : juillet 2007 Messages : 108 Détails du profil Informations forums : Inscription : juillet 2007 Messages : 108 Points : 21 Points : 21	Je me doutais bien que je n'étais pas très clair. Voici comment je vois les choses (certainement pas de la bonne manière ) : - j'ai une page "accueil.php" qui affiche des articles contenus dans une BdD. Pour les afficher, elle doit se connecter à ma BdD. Mais où mettre le MdP ? Et lequel utiliser ? Celui que j'utilise pour PhpMyAdmin ? - pour chaque article, il y a un lien "ajouter commentaire" qui ouvre une fenêtre contenant un formulaire contenant les champs "auteur, mail, contenu". Après avoir rempli ces champs, l'utilisateur clique sur "enregistrer", qui doit effectuer l'INSERT dans ma BdD. Ici encore je me pose les mêmes questions. Désolé de faire mon boulet mais c'est mon premier essai avec Php/MySql.
	00

25/07/2007, 11h16	#4
koopajah Membre Expert Inscription : janvier 2005 Messages : 2 288 Détails du profil Informations forums : Inscription : janvier 2005 Messages : 2 288 Points : 2 287 Points : 2 287	Il faut bien commencer quelque part, et c'est important de se poser ce genre de questions, ça prouve que tu fais un peu attention à la sécurité ! Comme je l'ai dit plus haut, la connexion à la base de données est faite par le script php lui meme, qui est exécuté sur ton serveur (chez free donc pour toi). Tu vas donc bien utiliser le meme mot de passe que celui que tu utilises pour phpmyadmin. Tu peux le mettre dans ton script directement puisque celui-ci sera interprété par Php et Apache et donc non accessible par quelqu'un de l'extérieur. Il me semble qu'il est conseillé de stocker les mots de passes en dehors de ton répertoire local (pour pas que quelqu'un ait acces au fichier depuis l'extérieur) mais je n'ai pas vraiment compris le risque encouru (vu que si Apache est down tu n'y as pas accès, il faudrait que seul PHP soit down sur le serveur free...). Peut etre quelqu'un peut il te préciser cela? Ensuite pour l'insertion c'est la meme chose, le point critique ce sont les injections SQL et pour ca il faudra que tu penses a utiliser mysql_real_escape_string()
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email