Discussion :

[jmayeux]

Bonjour, une base de données sql est hébergé sur un serveur chez amen.fr , je souhaite que les visiteurs puissent lire la base données dans son integralite en leur proposant un affichage des donnees dans un fichier php disponible sur le WWW. c'est super simple mais je voudrais savoir si il y a un trou de securite et que quelqu'un puisse ainsi modifier la base de données en recuperant les codes d'acces au serveur etc...

J'ai pris les devants en interdissant l'acces au dossier ou se trouve le fichier de connection qui est appelé par le fichier php qui affiche la base de donnees.

merci de votre réponse.

[jmayeux]

Je ne trouve la réponse à ma question, mon premier est un index.php accessible à la racine du site internet sans besoin de mot de passe ; toutes personne connaissant le nom de domaine arrive à l'index.php du site qui est le fichier par défaut définit par un rewrite url. Cet index contient un include :

<?php include("cssfla/pied.htm"); ?>

Le fichier pied.htm est un menu html pure dans le bas de la page.

Est-ce que la commande include pose un problème de securite dans ce cas précis ?

JM

[fdumont]

Tu laisses une enorme faille de sécurité.

déjà il faut créer un compte SQL n'ayant le droit que de consultation.

ensuite dans ton scprit il est impératif d'utiliser ce compte pour evite de te faire poluer ta SQBG.

[jmayeux]

Je n'ai pas la possibilité de créer de comptes supplémentaires sur la base de données chez amen, je n'ai pas le droit de créer une deuxième base non plus.

Nous partons de chez amen bientôt mais pour le temps qu'ilreste y-a-il un autre moyen de sécuriser la base ??


Merci beaucoup.

je tiens a rappeler qu'il n'y a pas de session utilisateur.

[jmayeux]

Question N° 12889156 (18/06/2007 09:22:43)
Sujet : droits utilisateurs
Bonjour, j'ai mis en ligne l'affichage de la BDD attribuée à mon domaine f.com en utilisant les codes d'accès que vous m'avez fourni. Pour autant, je n'ai pas trouvé la possibilité de créer un compte avec les droits en lecture seulement de cette BDD afin de sécuriser la base un minimum contre toute pollution.
Finalement, je m'adresse à vous car je ne veux pas qu'un piratin s'introduise dans la BDD juste parce qu'on lui a laissé les codes d'entrée dans un fichier.

Bien à vous.

XR
Réponse de Axel le 18/06/2007 :
Bonjour,
Avec chaque base de données affilié à votre pack, un, et un seul compte utlisateur est crée. Ce dernier dispose des droits d'accès en lecture et en écriture.

Vous ne pouvez pas créer de comptes utilisateur supplémentaire.

Toute l’équipe d’Amen se tient à votre disposition.

Si vous avez d’autres questions, n'hésitez pas à nous envoyer un mail détaillé avec -identifiants FTP ou POP utilisés -message d'erreur dans son intégralité

Bonne continuation.

Cordialement,
Axel
______________________________________________________________________

Donc j'ai supprime le include par du code html pure mais ma base de données est toujours accessible car mes clients ont besoin de lire cette base.
Le fichier de connection est appelé par le fichier qui lit la base. La commande utilise est require_once.

Qu'en pensez-vous ?

[fdumont]

Petit info complémentaire, le compte qui est créer est un compte localhost (127.0.0.1) ou c'est un compte accessible de partout ?

si c'est une compte localhost, la sécurtié est préserver car seul ton site à acces à la base.

Il faut donc que tu protege le repertoire ou le fichier contenant tes identifiant de base.

[zulot]

j'ai une solution toute bete....

Pour chaque table de ta base tu cree un lien et tu fais une requete SELECT * que tu affiche en tableau voila le plus simple pour consulter les info.