IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Langage PHP Discussion :

[Sécurité] mot de passe sur compte personnel Free


Sujet :

Langage PHP

  1. #1
    Membre du Club
    Profil pro
    Inscrit en
    Avril 2006
    Messages
    71
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Avril 2006
    Messages : 71
    Points : 56
    Points
    56
    Par défaut [Sécurité] mot de passe sur compte personnel Free
    Bonjour,

    J'ai créé une base de données PostgreSQL sur une page perso Free, afin d'enregistrer des données envoyées par une application.
    Comme la base de données Free n'est pas accessible directement depuis l'extérieur, j'utilise des pages en PHP qui écrivent dans la base, et les données sont transmises à ces pages par passage de paramètres dans l'url.

    Le problème, c'est que ces pages PHP, pour écrire dans la base de données, utilisent le mot de passe de mon compte Free et que celui-ci est donc mentionné en clair dans un petit fichier "base.php" que les pages PHP lisent pour pouvoir écrire dans la base.

    <?
    $dbname = 'nomdelabase';
    $dbhost = 'localhost';
    $dbuser = 'nomdelabase';
    $dbpassword = 'motdepasse';
    ?>

    N'importe qui peut lire en clair ce fichier en fouinant dans les répertoires de mon compte. Il ne semble pas possible de changer les droits du fichier.
    Comment puis-je protéger ce mot de passe?

    Merci d'avance.

  2. #2
    Expert éminent sénior

    Profil pro
    Inscrit en
    Juin 2002
    Messages
    6 152
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juin 2002
    Messages : 6 152
    Points : 17 778
    Points
    17 778
    Par défaut
    La fonction open_basedir est active chez Free et ne permet donc pas à un hébergé de lire (et manipuler en général) des fichiers en dehors de son propre espace.


    J'espère avoir répondu à la question, Julp.

  3. #3
    Membre du Club
    Profil pro
    Inscrit en
    Avril 2006
    Messages
    71
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Avril 2006
    Messages : 71
    Points : 56
    Points
    56
    Par défaut
    Je ne suis pas sûr de comprendre clairement votre réponse, ne connaissant pas cette fonction open_basedir.
    http://www.php.net/manual/fr/ini.cor...i.open-basedir
    Même après lecture, je ne vois pas bien le rapport...

    En effet, ma crainte était que n'importe qui puisse, en allant dans le répertoire où sont stockés les fichiers PHP, lire le fichier base.php avec le mot de passe de ma base (forcément le même que celui de mon compte).

    Or, j'ai essayé de télécharger les fichier php avec "enregistrer sous..." et, effectivement, ça ne fonctionne pas !
    J'étais persuadé que c'était possible, car on peut le faire avec d'autres types de fichiers, des PDF et des images par exemple...

    Donc, je n'ai rien à faire apparemment.
    Je suis dubitatif quand même...

    Quoi qu'il en soit, merci.

  4. #4
    Membre éclairé Avatar de LeXo
    Profil pro
    Inscrit en
    Janvier 2004
    Messages
    1 147
    Détails du profil
    Informations personnelles :
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations forums :
    Inscription : Janvier 2004
    Messages : 1 147
    Points : 868
    Points
    868
    Par défaut
    non les script php ne sont pas visibles
    Plzzz pas de questions par MP.

  5. #5
    Expert éminent sénior

    Profil pro
    Inscrit en
    Juin 2002
    Messages
    6 152
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juin 2002
    Messages : 6 152
    Points : 17 778
    Points
    17 778
    Par défaut
    Je vais essayer d'éclaircir et approfondir :
    1. vis à vis des "visiteurs" : le code PHP ne leur est pas accessible dans la mesure où celui-ci est interprété par le serveur, ils recoivent donc uniquement du code HTML au sens large (texte simple ou encore Javascript). Ils pourront donc toujours chercher à éditer la source de la page, ils n'obtiendront uniquement le code HTML résultant de l'interprétation du code PHP.
    2. vis à vis des autres hébergés de Free : la problématique sur un serveur mutualisé (= hébergement de plusieurs utilisateurs) c'est qu'ils peuvent, sans précautions particulières de la part de l'hébergeur, accéder à l'ensemble des fichiers du système suivant les permissions de ceux-ci. Un script PHP a, en temps normal, besoin des droits de lecture pour le serveur Apache (donc catégorie autre en général puisque vos fichiers sont uploadés sur un utilisateur système qui vous est propre). Par conséquent, sans open_basedir (ou safe_mode) un autre hébergé pourrait très bien lire votre fichier de configuration et réutiliser les informations qui y figurent. (éventuellement la lecture d'un tutoriel sur les permissions des fichiers sous Linux/Unix vous permettrait de comprendre ce point).



    Julp.

  6. #6
    Membre du Club
    Profil pro
    Inscrit en
    Avril 2006
    Messages
    71
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Avril 2006
    Messages : 71
    Points : 56
    Points
    56
    Par défaut
    Merci pour ces précisions. Ma crainte concernait effectivement les visiteurs, et non les autres hébergés. Je n'avais même pas songé à ce problème, en vérité. Je vois maintenant le problème que vous évoquiez.

+ Répondre à la discussion
Cette discussion est résolue.

Discussions similaires

  1. Réponses: 2
    Dernier message: 28/09/2008, 22h42
  2. Mot de passe sur une carte à puce!?
    Par Le_Che dans le forum C++Builder
    Réponses: 13
    Dernier message: 20/05/2005, 11h37
  3. [FireFox / Sécurité] Mots de passe en clair
    Par arcane dans le forum Applications
    Réponses: 6
    Dernier message: 28/12/2004, 18h28
  4. Réponses: 4
    Dernier message: 29/11/2004, 23h53
  5. Mot de passe du compte sa
    Par WOLO Laurent dans le forum MS SQL Server
    Réponses: 2
    Dernier message: 31/07/2003, 17h21

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo