Discussion :

[redoran]

Salut ; on lisant les démarche a suivre pour sécurisé son application web , un passage faisant état de sécurisé sa connexion sans donné un exemple.
alors je me demande comment peut-on sécurisé une chaine de connexion PDO ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
 
<?php
// On se connecte à la bdd
try
{
$PARAM_hote='localhost'; // le chemin vers le serveur
$PARAM_nom_bd='bddd'; // le nom de votre base de données
$PARAM_utilisateur='root'; // nom d'utilisateur pour se connecter a modifier
$PARAM_mot_passe='gladiator'; // mot de passe de l'utilisateur pour se connecter a modifier
// connexion marche très bien avec affichage de msg erreure
 
// Options de connexion
$options = array
(
PDO::MYSQL_ATTR_INIT_COMMAND    => "SET NAMES utf8" ,  // indiquer à MySQL que echanger nos données en UTF8.
PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION , 
PDO::ATTR_PERSISTENT => true);
 
 
$cbd = new PDO('mysql:host='.$PARAM_hote.';dbname='.$PARAM_nom_bd, $PARAM_utilisateur, $PARAM_mot_passe , $options  );
}
 
catch(PDOException $e)
{
echo 'Une erreur de connexion est survenue !'; $e->getMessage();
die();
}
 
?>

[CinePhil]

Si le répertoire où se trouvent les informations de connexion est protégé contre les intrusions externes, ça me semble suffisant.

D'une manière générale, les parties contrôleur et modèle sont à protéger rigoureusement et seule la partie vue est accessible au serveur Web (Apache par exemple). C'est le dispatcher appelé par le fichier d'index du site qui se charge d'orienter vers le programme à utiliser en fonction de l'url tapée. Si je me souviens bien, c'est le principe utilisé par Zend Framework (version 1.7 à 1.10 avec lesquelles j'avais travaillé un peu il y a deux ans).

[redoran]

Salut ; le code ci-dessus est dans un fichier a part dans un répertoire nommé et protégé par .htaccess .

D'une manière générale, les parties contrôleur et modèle sont à protéger rigoureusement et seule la partie vue est accessible au serveur Web (Apache par exemple).

je ne suis pas encore au MVC.

[grunk]

Par principe je mettrais les infos de connexions dans un fichier à part qui se trouverais en dehors de la racine web (donc pas accessible via http) et non accessible via ftp.

Un fichier dans un dossier protégé par un htaccess est non accessible mais reste sensible à une erreur de manipulation (genre suppression du htacess)

[redoran]

Excuse mon ignorance mais:

Par principe je mettrais les infos de connexions dans un fichier à part qui se trouverais en dehors de la racine web (donc pas accessible via http) et non accessible via ftp.

tu veut dire que:
Dossier mon application/

index.php

répertoire.js

répertoire.css

répertoire images

Dossier connexion/

fichier connexion

[grunk]

Par exemple oui.

Admettons sous windows , la racine web est : D:/www et bien tu place ton fichier par exemple dans E:/connexions/