Discussion :

[Lideln]

Bonsoir !

Je suis tout débutant en PHP/MySQL, et mon premier problème (sûrement pas le dernier ) vient de la connexion à la base de données.

J'utilise, dans un script PHP :
$connexion = mysql_connect("mysql.mabase","login","passwd");

Pour l'instant je n'ai qu'un seul script : il vérifie qu'un pseudo n'existe pas déjà dans la base (mais apres bien sur d'autres scripts pour : ajouter un membre, etc etc)

Mais j'ai lu sur un site qu'il fallait surtout pas mettre son mot de passe MySQL dans le script PHP, ce que je peux sans doute comprendre.

Alors d'où ma question : si on met pas notre mot de passe de connexion à la BDD dans le script PHP, on le met ou ? (histoire que ce soit sécurisé et que le 1er pirate amateur vienne pas pourrir mon site )

Merci de votre aide

Lideln

[Fladnag]

alors deja, faut pas etre un pirate amateur pour trouver ton mot de passe, meme ecrit en clair dans ton code php... mais ca reste faisable.

Une bonne solution consiste a :

* creer un repertoire "secure" (ou un autre nom) dans ton arborescence web
* creer dans ce repertoire 2 fichiers :
° un fichier nommé ".htaccess" contenant juste la phrase "Deny from all"
° un fichier nommé "config.php" (ou un autre nom) contenant :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
<?php
$SQLhost = 'localhost';
$SQLpass= 'ton_pass';
$SQLlogin= 'ton_login';
?>

Puis, au lieu de faire mysql_connect(...), tu fait :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
include('secure/config.php');
mysql_connect($SQLhost, $SQLlogin, $SQLpass) or die(mysql_error());

L'avantage est que ton mot de passe est toujours "en clair" dans le code (dans le fichier config.php) mais il est protégé par un .htaccess qui est la protection la plus bas niveau que tu puisse mettre (.htaccess est géré par le serveur web).
Pour t'en convaincre, il suffit d'aller sur http://tonsite.com/secure/ et tu obtiendras un beau message d'erreur comme quoi tu n'a pas le droit d'acceder a ce repetoire (cela est provoqué par le .htaccess)

[stunti]

ou mieux, tu mets le fichier config dans un repertoire en dessous de la racine de ton site.
Comme ca, pas d'acces par le serveur web.

[Eusebius]

ou mieux, tu mets le fichier config dans un repertoire en dessous de la racine de ton site.
Comme ca, pas d'acces par le serveur web.

En faisant attention qu'il soit quand même dans le open_basedir de PHP

[stunti]

Bien sur

[Lideln]

Hello !

Merci pour vos réponses !
Je vais faire ca donc, utiliser le deny from all (en fait j'ai tous mes scripts dans un dossier spécial, et j'avais mis ce .htaccess, mais quand j'ai appelé le script depuis flash, impossile d'y accéder snif, normal me direz vous ^^)

Merci encore (j'ai pas capté le truc de open_basedir mais bon dans l'ensemble sinon voui )

A+ pour de nouvelles questions

Bonne journée,

Lideln

ps : Eusebius impec ton avatar...