Où mettre les mots de passe ? [Résolu]

Seb981 · 05/09/2007, 09h24

Bonjour à tous,

Pourriez-vous me dire si les mots de passe doivent être obligatoirement dans un fichier inc.php ? car je les ai mis dans un fichier .php.

Dois-je les changer de place ?
J'espere que vous pourrez me conseiller.

( ex : mot de passe de la base de données)

nu_tango · 05/09/2007, 09h52

Mets les dans un et un fichier pass.php que tu places dans un dossier includes par exemple.

Ainsi lorsque tu veux les utiliser tu fais un include_once ou require_once :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

include_once('includes/pass.php');

julp · 05/09/2007, 11h50

Ça ne change rien au final puisque l'extension (.php ici) est la même et donc ces fichiers seront vus et traités, par le serveur, de la même manière (à moins de vraiment avoir distingué les deux cas).

Ce qui compte c'est qu'il ne puisse pas être vu sans être interprété donc quelqu'un y accédant directement par son URL ne le verrait pas et/ou protégé par htaccess, exemple pour des fichiers ini :

Code X :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
<Files ~ "\.ini$">
    Order allow,deny
    Deny from all
    Satisfy All
</Files>

akara · 05/09/2007, 11h54

bonjour à tous,
@julp que signifie cette ligne

Citation:

Files ~ "\.ini$

julp · 05/09/2007, 11h59

Le tilde => utilisation d'une expression régulière
\.ini$ => le point est un métacaractère (caractère possédant une signification particulière), il faut donc l'échapper (le faire précéder d'un antislash) pour qu'il retrouve sa valeur de "simple caractère". Le dollar correspond à la fin de la chaîne (nom du fichier). Ce qu'on peut traduire par tout fichier se terminant par .ini (son extension quoi).

Pour plus d'infos : la documentation de la directive Files et FilesMatch.

akara · 05/09/2007, 12h51

ah oui ?!,merci
donc Seb981 devrait faire un fichier conn.ini et mettre dans ce fichier :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
 
	// identifiants de connexion au serveur MySQL
	$host="localhost";
	$user="machin";
	$pswd="chouette";
	$base="truc";
	if (!mysql_connect($host,$user,$pswd)){
		exit("Echec de connexion au serveur...");
	}
	if (!mysql_select_db($base)){
		exit("Echec de sélection de la base...");
	}

si le fichier conn.ini se trouve dans un dossier 'inc'
mettre dans la page .php:
require_once('inc/conn.ini');

julp · 05/09/2007, 13h54

Non ! L'exemple avec les fichiers .ini c'était pour montrer que ça ne s'applique pas qu'aux fichiers PHP. Pour un tel fichier vous avez tout intérêt à donner une extension .php au fichier pour être certain que quoiqu'il arrive il soit interprété (sauf problèmes au niveau du serveur). Vous pouvez en plus appliquez ce htaccess à des fichiers php de manière localisée (à un répertoire comme celui que l'on appelle généralement includes) pour qu'un utilisateur ne puisse pas en plus y faire directement appel (et ce qui permettrait de gérer le cas d'une panne temporaire d'interprétation de PHP).

Vous pouvez si ça vous chante bien sûr utilisez un fichier .ini mais j'en vois guère l'intérêt (tant qu'il est inclus et syntaxiquement correct cela fonctionnera). Certains frameworks (Zend pour ne pas le citer) propose cette méthode (parmi d'autres) pour stocker des paramètres (dont ceux de la connexion aux bases de données) mais ça n'a aucun sens d'y mettre du code PHP !

MANU_2 · 05/09/2007, 14h25

La gestion des mdp se fait dans un fichier *.php car le php est interpréter par le serveur avant d'être envoyé à l'internaute => l'internasute ne voit pas le bon mdp.

Si la gestion du mdp se fait dans un *.html, il est très facile de récupérer le bon mdp.

Et peu importe le nom, pourvu qu'il est l'extension php.

Pour stocker les mdp, il est préférable de les mettre dans une BD.

Seb981 · 06/09/2007, 09h19

Merci à vous tous pour ces commentaires très intéressant.

J'ai donc pas de souci à me faire si mes mots de passe se font dans un fichier .php.

@+ Seb

julp · 06/09/2007, 11h19

Citation:

Envoyé par Seb981

J'ai donc pas de souci à me faire si mes mots de passe se font dans un fichier .php.

Non ! Si vous en avez la possibilité vous pouvez retirer tous les scripts qui ne doivent pas être appelés directement en dehors de la racine du serveur comme cela est conseillé mais on en a généralement pas la possibilité sur des hébergements de type mutualisé ...

Seb981 · 06/09/2007, 13h00

Ok ! Merci julp pour cette indication.

@+ Seb

chaced · 06/09/2007, 14h18

Citation:

Envoyé par julp

Non ! Si vous en avez la possibilité vous pouvez retirer tous les scripts qui ne doivent pas être appelés directement en dehors de la racine du serveur comme cela est conseillé mais on en a généralement pas la possibilité sur des hébergements de type mutualisé ...

ça fait quoi qu'il soit appelé ? même si on fait un fopen le contenu sera quand même interprété, donc le mot de passe sera invisible, sauf a faire un echo du mot de passe bien sur.
Bon apres si on peut mettre le fichier en dessous de www ça ne se pose plus se genre de question

julp · 06/09/2007, 17h51

Citation:

Envoyé par chaced

Bon apres si on peut mettre le fichier en dessous de www ça ne se pose plus se genre de question

Vous répondez vous-mêmes à la question. Mais en fait c'est une solution bien plus générique car vous pourriez y placer d'autres fichiers non php/interprété (PDF ou que sais-je) à l'abri de la sorte.

05/09/2007, 09h24	#1
Seb981 Membre à l'essai Inscription : mai 2007 Messages : 137 Détails du profil Informations forums : Inscription : mai 2007 Messages : 137 Points : 22 Points : 22	Où mettre les mots de passe ? Bonjour à tous, Pourriez-vous me dire si les mots de passe doivent être obligatoirement dans un fichier inc.php ? car je les ai mis dans un fichier .php. Dois-je les changer de place ? J'espere que vous pourrez me conseiller. ( ex : mot de passe de la base de données)
	00

05/09/2007, 09h52	#2
nu_tango Membre éclairé En formation Inscription : mai 2007 Messages : 128 Détails du profil Informations personnelles : Sexe : Âge : 30 Localisation : France, Paris (Île de France) Informations professionnelles : Activité : En formation Informations forums : Inscription : mai 2007 Messages : 128 Points : 348 Points : 348	Mets les dans un et un fichier pass.php que tu places dans un dossier includes par exemple. Ainsi lorsque tu veux les utiliser tu fais un include_once ou require_once : Code : Sélectionner tout - Visualiser dans une fenêtre à part include_once('includes/pass.php');
	00

05/09/2007, 11h59	#5
julp En attente de confirmation mail Inscription : juin 2002 Messages : 6 164 Détails du profil Informations forums : Inscription : juin 2002 Messages : 6 164 Points : 6 404 Points : 6 404	Le tilde => utilisation d'une expression régulière \.ini$ => le point est un métacaractère (caractère possédant une signification particulière), il faut donc l'échapper (le faire précéder d'un antislash) pour qu'il retrouve sa valeur de "simple caractère". Le dollar correspond à la fin de la chaîne (nom du fichier). Ce qu'on peut traduire par tout fichier se terminant par .ini (son extension quoi). Pour plus d'infos : la documentation de la directive Files et FilesMatch.
	00

05/09/2007, 13h54	#7
julp En attente de confirmation mail Inscription : juin 2002 Messages : 6 164 Détails du profil Informations forums : Inscription : juin 2002 Messages : 6 164 Points : 6 404 Points : 6 404	Non ! L'exemple avec les fichiers .ini c'était pour montrer que ça ne s'applique pas qu'aux fichiers PHP. Pour un tel fichier vous avez tout intérêt à donner une extension .php au fichier pour être certain que quoiqu'il arrive il soit interprété (sauf problèmes au niveau du serveur). Vous pouvez en plus appliquez ce htaccess à des fichiers php de manière localisée (à un répertoire comme celui que l'on appelle généralement includes) pour qu'un utilisateur ne puisse pas en plus y faire directement appel (et ce qui permettrait de gérer le cas d'une panne temporaire d'interprétation de PHP). Vous pouvez si ça vous chante bien sûr utilisez un fichier .ini mais j'en vois guère l'intérêt (tant qu'il est inclus et syntaxiquement correct cela fonctionnera). Certains frameworks (Zend pour ne pas le citer) propose cette méthode (parmi d'autres) pour stocker des paramètres (dont ceux de la connexion aux bases de données) mais ça n'a aucun sens d'y mettre du code PHP !
	00

05/09/2007, 14h25	#8
MANU_2 Membre confirmé Inscription : mai 2002 Messages : 417 Détails du profil Informations forums : Inscription : mai 2002 Messages : 417 Points : 224 Points : 224	La gestion des mdp se fait dans un fichier .php car le php est interpréter par le serveur avant d'être envoyé à l'internaute => l'internasute ne voit pas le bon mdp. Si la gestion du mdp se fait dans un .html, il est très facile de récupérer le bon mdp. Et peu importe le nom, pourvu qu'il est l'extension php. Pour stocker les mdp, il est préférable de les mettre dans une BD.
	00

06/09/2007, 09h19	#9
Seb981 Membre à l'essai Inscription : mai 2007 Messages : 137 Détails du profil Informations forums : Inscription : mai 2007 Messages : 137 Points : 22 Points : 22	Merci à vous tous pour ces commentaires très intéressant. J'ai donc pas de souci à me faire si mes mots de passe se font dans un fichier .php. @+ Seb
	00

06/09/2007, 13h00	#11
Seb981 Membre à l'essai Inscription : mai 2007 Messages : 137 Détails du profil Informations forums : Inscription : mai 2007 Messages : 137 Points : 22 Points : 22	Ok ! Merci julp pour cette indication. @+ Seb
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email