Discussion :

[harris_macken]

Bonjour,

Je me pose une question sur la sécurité du fichier PHP qui sera utilisé pour la connexion à la BD dans le cas d'un site un web.

En effet dans le script de connexion ci-dessous. je suis obligé d'entrer le mot de passe de MySql dans le fichier sans le cripter.
Alors 2 questions se posent :
- puisque ce script vont aller sur mon serveur, est-ce qu'il n'ai pas possible que quelqu'un accéde à mon script et donc accède donc facilement au mot de passe de ma BD.
- comment faire pour éviter cela

Merci

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
$db_host = "localhost";
$db_username = "put_db_username_here"; 
// Place the password for the MySQL database here
$db_pass = "put_db_password_here";
// Place the name for the MySQL database here
$db_name = "put_db_name_here";
mysql_connect("$db_host","$db_username","$db_pass") or die(mysql_error());
mysql_select_db("$db_name") or die("no database by that name");
?>

[Vil'Coyote]

- utiliser un utilisateur avec des droits restreins
- protéger l'accès à tes fichiers via htaccess
- ne pas utiliser des noms de fichiers trop "bateau"

[harris_macken]

iser un utilisateur avec des droits restreins

Donc dans ce cas, tu veux dire que je dois créer un usager autre que root à qui je donnerait que des droits de sélection, recherche, création, suppression? (puisque un usager peut normalement rechercher, ajouter un message, le supprimer) Mais donc finalement ça sera quoi l'avantage puisque il fait ce que root fait.

protéger l'accès à tes fichiers via htaccess

Ok donc si j'inclut un fichier .htaccess avec ce code, Tous mes fichiers déposés dans le repertoire web ne seront plus accessible via internet?
(pour info l'arichitecture de mon repertoire est
-www
- .htaccess
- index.php
- script
- (tous mes script php)
- css
- (tous mes script css)
- images
- (toutes mes images)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
<Files .htaccess> order allow,deny deny from all </Files>
RewriteEngine on
RewriteCond %{HTTP_HOST} ^monsiteweb\.com
RewriteRule ^(.*)$ http://www.monsite.com/$1 [R=permanent,L]

ne pas utiliser des noms de fichiers trop "bateau"

J'ai pas trop compris cela.

Encore une foi, merci beaucoup pour votre support

[Vil'Coyote]

Donc dans ce cas, tu veux dire que je dois créer un usager autre que root à qui je donnerait que des droits de sélection, recherche, création, suppression? (puisque un usager peut normalement rechercher, ajouter un message, le supprimer) Mais donc finalement ça sera quoi l'avantage puisque il fait ce que root fait.

il y a une nuance entre root et utilisateur. ton root à tous les droits sur toutes les bases et tables de ton serveur. alors qu'utiliser un utilisateur spécifique te permet de limiter la casse.

ne pas utiliser des noms de fichiers trop "bateau"

j'entendais par là de ne pas utiliser des nom de fichier tel que administration, admin, verif_password etc ... ne pas avoir des fichier dont les nom sont trop commun.

[Invité]

Bonjour,
Je sais c'est lourd, mais voici ma méthode depuis des années sur plusieurs sites ...

Je vais te détailler commen je fais , aprés tu fais comme tu veux
1) j'ais un seul php qui contient le login pour tout mon domaine
2) il est dans un répertoire ou sont plein d'objets divers
3) le repertoire contient

un htaccess contenant

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
<Files "monsql.php">
Order Allow,Deny
Deny from All
</Files>

donc on peut tout voir sauf ce fichier inaccessible !

un index.php de ce répertoire contenant

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
<?php
 header('Location: http://www.monsite.com/index.php');
 exit;
?>

donc ça va te parétre exagéré mais au moins c'est "bordé" dechez "bordé"

4) TOUT php faisant un include de mes_imagse/monsql.php
ont
$chris="******"; JUSTE AVANT L'INCLUDE

5) monsql.php est ainsi et la tu va voir que pour l'atteindre DURDUR

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
<?php
if (!isset($chris))
   {
   header('Location: http://www.monsite.com/index.php');
   exit;
   }
   $b=$_SERVER['SERVER_NAME']; // == on est sur le bon serveur ==
if ( $b=="www.monsite.com" && $chris=="******")
   {
   $Flag1=mysql_connect("localhost","foxchrixxx","*********");
   $Flag2=mysql_select_db("foxie");
   }
   else   {
   $Flag1=mysql_connect("localhost","root","");
   $Flag2=mysql_select_db("local");   }
?>

Tu vois c'est pratiquement inviolable

Bien sur j'ais la version PDO dito