Discussion :

[XDev1]

Bonjour à tous,

Je suis nouveau dans le développement Web. J'ai conçu une application sous JavaScript et je souhaite la rendre accessible comme un site de façon réglementée.
Côté serveur, j'ai construit une base de données MySQL qui enregistre notamment les identifiants et mots de passe des futurs utilisateurs. Pour des raisons de sécurité, je souhaite votre avis sur la construction suivante que j'ai eu péniblement à obtenir à partir des infos du net :

Je crée un répertoire dans lequel j'enregistre un fichier PHP contenant le login et le mot de passe de la base de données sensible. Je crée également un fichier access.txt dans lequel j'enregistre le Login et le mot de passe pour accéder à ce répertoire (Login;MdP). Je construis un fichier .htaccess me permettant de restreindre l'accès.
Le fichier PHP dédié à l'authentification des utilisateurs ouvre la base de données en utilisant un pdo en transmettant les variables contenant identifiants et mots de passe.

Pensez-vous que cette structure est correcte et sécure ?

Par avance merci.

PS: J'ai une autre question qui concerne l'intérêt de crypter les mots de passe. Mais une chose à la fois !

[kevin254kl]

Salut,

Ton mot de passe doit-être crypté afin de garantir la sécurité de l'information, ensuite dans le répertoire tu dois empécher l'accès aux fichiers directement et faire une vérification par identification (qui doit être en base de données et crypté). Dans les framework actuel le serveur redirige vers un fichier index dans le dossier public avec les droits puis ce fichier va rediriger selon les permissions

Un exemple ici https://github.com/linxcodev/simple-crud-login (attention c'est juste un exemple le code est obsolète c'est pour l'idée d'organisation)

[XDev1]

@kevin254kl
Merci de ton intervention, je vais consulter le code et réfléchir.

[Invité]

Bonjour,

SURTOUT, n'utilise pas le code proposé dans le lien : il est complètement obsolète !!!

De plus, il ne faut pas crypter (réversible), mais hasher (irréversible) les mots de passe.
Voir :

• password_hash()
• password_verify()

[XDev1]

@jreaux62
Bonsoir,

Merci de l'info. J'ai bien compris que les mots de passe sont hachés et stockés dans la base de données contenant les comptes utilisateurs.
Mon autre problème est simple. Il survient lors de l'ouverture de cette base de données sensible avec un PDO. Or, le PDO exige le mot de passe en clair. Est-ce que le fait de le stocker dans un fichier PHP placé dans le répertoire protégé par un fichier .htaccess est suffisamment secure. Je transmet donc une variable à la place.

Bonne soirée.

[ABCIWEB]

Oui c'est sécurisé si tu mets la mention "deny from all" dans le .htaccess qui protège ton répertoire. Une autre option est de mettre les fichiers sensibles en dehors du répertoire www mais ce n'est pas toujours pratique.

[XDev1]

Bonjour,

@ABCIWEB
La mention "deny from all" ne refuse-t-elle pas tout accès ?
En fait, je veux simplement que le fichier détenant le mot de passe (dans une variable) en clair ne soit accessible qu'aux scripts PHP et à moi-même bien évidemment si je veux le changer.
Les interrogations sont celles d'un néophyte et je comprends qu'elles peuvent surprendre.
Lorsque tu dis de mettre les fichiers sensibles en dehors du répertoire www, que veux-tu dire ?
Pour le moment, l'application est installé en local de manière classique avec MAMP. J'y accède par localhost:8888/ViktorIDE/JSViktorIDEHome.html. Il s'agit en fait de la page de connexion.

Merci de ton aide.

[ABCIWEB]

deny from all permet d'interdire tout accès au répertoire depuis l'extérieur du site, mais php pourra y accéder, de même que toi puisque tu as les droits pour administrer le serveur.

Ou si tu utilises un framework qui met certains fichiers en dehors de www (ce qui interdit également leur accès depuis l'extérieur du site), fais de même pour rester cohérent.

[XDev1]

@ABCIWEB
Merci de ton aide. Je vais poursuivre mon code.