Discussion :

[abc.xyz]

Bonjour,

y a t'il un moyen de sécuriser le code PHP suivant d'accès à la bdd?Peut être n'est ce pas utile dans ce cas?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
 
<?php
$db = 'mysql:host=localhost;dbname=name';
$username = 'nameExample';
$password = 'passwordExample';
 
try {
    $dbh = new PDO($db, $username, $password);
    $dbh->exec("SET CHARACTER SET utf8");
} catch (Exception $e) {
    die('Exception reçue : ' . $e->getMessage());
}
?>

merci de vos réponses, bonne journée.

[sabotage]

Ce code ne pose pas de problème de sécurité.
Il peut être placé dans un répertoire hors du serveur web ou interdit d'accès et inclus la ou tu en as besoin.

[abc.xyz]

ok merci de cette réponse, j'étends la question:
la bdd MySQL a une adresse à laquelle il y a une interface de login où on peut se connecter avec les username et password du code PHP que j'ai donné.
Ne doit t'on pas faire en sorte que cette adresse reste confidentielle car peut être que le code de cette interface de login n'a pas été pensé pour éviter les injections SQL?

[sabotage]

Tu parles de Phpmyadmin ?

[abc.xyz]

oui

[abc.xyz]

En d'autres termes ce que j'aimerais comprendre c'est: est ce qu'un pirate va essayer de récupérer l'adresse d'un phpmyadmin ou alors est ce que c'est sans intérêt pour lui et donc à ce moment là sans danger pour nous?

[sabotage]

Je ne peux pas te dire s'il existe des failles exploitables sur Phpmyadmin mais effectivement autant ne pas laisser la porte ouverte.

[grunk]

En d'autres termes ce que j'aimerais comprendre c'est: est ce qu'un pirate va essayer de récupérer l'adresse d'un phpmyadmin ou alors est ce que c'est sans intérêt pour lui et donc à ce moment là sans danger pour nous?

Lors de scan d'ip ou de domaine c'est une des première chose qui est recherché.
Si tu laisses l’adresse classique domaine.com/phpmyadmin tu vas en plus avoir le droit à un petit brute force sur les login classique (root/admin, etc ...)

Pour phpmyadmin le minimum c'est de le mettre sur un alias non commun. C'est à dire éviter les /phpmyadmin , /sql, /mysql, /myadmin , etc ...
Evidemment lui mettre un mot de passe robuste
Et si possible limiter son accès à certaines adresse IP connues. Par exemple sur les serveurs hébergés chez nous , les phpmyadmin ne sont accessible que depuis des ip du réseau local.

[abc.xyz]

merci pour ces réponses, je vais faire changer l'adresse, comment s'y prennent t'ils pour faire un scan de domaine exactement?

[emutramp]

D'accord avec grunk, ne laisse jamais un rep phpmyadmin avec public acces, meme avec un nom de repertoire unique, l'info pourrait fuiter.

Travail avec phpmyadmin qu'avec un nom de path unique et temporaire (une fois le taff de phpmyadmin fini, supprime le dossier PMA du web public ou deplace le)

Pour les scan web, plusieurs methodes, plusieurs outils... C'est vaste. Une liste de 40 MB de mots / bruteforce sur des dossiers et ext de fichier ou via des programmes disponibles opensource (comme w3af, zaproxy, wapiti...)

[abc.xyz]

bonjour,
tout d'abord emutramp merci de ta reponse mais je ne comprends pas bien ce que tu m'expliques
Pour moi la seule chose à faire c'est changer l'url de phpmyadmin et donc supprimer une url trop évidente du style /phpmyadmin et pour cela il faut donc renommer le dossier en question, y a t'il quelque chose d'autre?

merci

[grunk]

Oui , dans l'idéal il faut limiter l'accès phpmyadmin à des adresses IP connues et sures. C'est pas indispensable mais c'est plus sur.

Si tu n'as pas d'ip fixe ca sera compliqué.