Discussion :

[brolon]

Bonjour à tous,

je suis en train de réaliser un petit site pour mon club de football, hébergé sur free.fr. Et je me pose une question existentielle (de débutant) : "comment gérer les connexions des visiteurs ?"

C'est-à-dire :
- quel mot de passe utiliser ? (Pas celui que j'utilise pour me connecter quand même ?)
- où le stocker dans les fichiers ?
- plusieurs visiteurs peuvent-ils se connecter en même temps avec un même mot de passe ?

Petite précision : les visiteurs sont anonymes et ne font que visiter une page qui rapatrie des articles stockés dans la BdD. Ils peuvent également ajouter des commentaires sur ces articles (mais sans identification -> juste le choix d'un pseudo ... un peu comme sur les skyblogs).

D'avance merci à vous.

PS : si mes propos manquent de clarté, faites-moi le savoir

[koopajah]

Bonjour !!

Puisque tu indiques que les utilisateurs n'ont pas de mot de passe quand ils postent un message et que lorsqu'ils regardent le site ils sont en anonymes pourquoi voudrais-tu stocker un nom d'utilisateur?

Est-ce que tu parles de celui de la base de données? Dans ce cas, ca sera dans ton code PHP qui est lui meme exécuté coté serveur donc ils ne pourront pas y avoir accès juste en se connectant au site!

Essaies juste d'être un peu plus précis si je n'ai pas été assez clair !

[brolon]

Je me doutais bien que je n'étais pas très clair.

Voici comment je vois les choses (certainement pas de la bonne manière ) :
- j'ai une page "accueil.php" qui affiche des articles contenus dans une BdD. Pour les afficher, elle doit se connecter à ma BdD. Mais où mettre le MdP ? Et lequel utiliser ? Celui que j'utilise pour PhpMyAdmin ?
- pour chaque article, il y a un lien "ajouter commentaire" qui ouvre une fenêtre contenant un formulaire contenant les champs "auteur, mail, contenu". Après avoir rempli ces champs, l'utilisateur clique sur "enregistrer", qui doit effectuer l'INSERT dans ma BdD. Ici encore je me pose les mêmes questions.

Désolé de faire mon boulet mais c'est mon premier essai avec Php/MySql.

[koopajah]

Il faut bien commencer quelque part, et c'est important de se poser ce genre de questions, ça prouve que tu fais un peu attention à la sécurité !

Comme je l'ai dit plus haut, la connexion à la base de données est faite par le script php lui meme, qui est exécuté sur ton serveur (chez free donc pour toi). Tu vas donc bien utiliser le meme mot de passe que celui que tu utilises pour phpmyadmin. Tu peux le mettre dans ton script directement puisque celui-ci sera interprété par Php et Apache et donc non accessible par quelqu'un de l'extérieur.
Il me semble qu'il est conseillé de stocker les mots de passes en dehors de ton répertoire local (pour pas que quelqu'un ait acces au fichier depuis l'extérieur) mais je n'ai pas vraiment compris le risque encouru (vu que si Apache est down tu n'y as pas accès, il faudrait que seul PHP soit down sur le serveur free...). Peut etre quelqu'un peut il te préciser cela?

Ensuite pour l'insertion c'est la meme chose, le point critique ce sont les injections SQL et pour ca il faudra que tu penses a utiliser mysql_real_escape_string()