Discussion :

[bdb]

***
Article sur la sécurité : dangers de l'upload de fichiers PHP
***
Bonjour,
pour l'instant j'ai un fichier de configuration dans lequel j'ai plusieurs variables, notamment de connexion. Et j'ai donc écrit en clair mon mot de passe d'accès à la base de données.
Y'a moyen de ne même pas le rentrer une fois en clair dans un fichier?
Parce que je trouve ça vraiment gênant du point de vue de la sécurité...

Merci d'avance

[zamanika]

salut,

A priori, il n'y a pas de risque, puisque ton fichier une fois sur le serveur ne peut qu'être interprété par php et pas téléchargé (si bien sur il a l'extension php), il ne renverra donc pas le contenu du fichier, même si quelqu'un fait pointer son navigateur sur l'url de ton config.php.

Celà dit, il faut bien veiller, notamment si tu permets l'upload de fichier sur ton site, qu'on ne puisse pas uploader de fichier .php : il y aurai alors moyen d'envoyer un script incluant ton fichier et faisant un echo des variables s'y trouvant...

[Kioob]

Hello,

quel que soit la méthode, il faudra toujours enregistrer le mot de passe quelquepart... Peut être qu'avec TurckMMCache ou Zend Encoder tu peux en rendre l'accès plus difficile, mais rien de bien méchant non plus. D'autant plus qu'il suffira d'inclure le fichier et d'afficher le contenu des variables...

Mais en théorie personne n'a accès aux scripts PHP.... sauf si tu insères toi même une faille dans le site.
Ensuite, il y a des chances pour que MySQL n'accepte les connexions que depuis certaines adresses, ce qui limite pas mal...

Et finalement, à toi de t'arranger pour que les données "sensibles" ne soit pas utilisables par un autre, même s'il a accès à la base de données.

[Kioob]

arf zamanika trop rapide

[bdb]

merci!
En effet, j'ai possibilité d'uploader des fichiers sur mon site. Je vais donc filtrer pour qu'on ne puisse uploader de fichier .php.