IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Langage PHP Discussion :

[Sécurité] Sécurisation de connexion base de donnée(include?)


Sujet :

Langage PHP

  1. #1
    Nouveau membre du Club
    Inscrit en
    Octobre 2004
    Messages
    29
    Détails du profil
    Informations forums :
    Inscription : Octobre 2004
    Messages : 29
    Points : 26
    Points
    26
    Par défaut [Sécurité] Sécurisation de connexion base de donnée(include?)
    Salutatiosns..


    Sur ms pages j'utilise un "include" où je garde mes informations de connexion a ma base de données. Apparament ce systeme n'est ps très fiable mais je ne sais pas quoi mettre d'autre...
    Y a t'il un moyen de "sécuriser" l'acces a une base de donné via "include"?

    Merci

  2. #2
    Membre du Club
    Inscrit en
    Juillet 2002
    Messages
    85
    Détails du profil
    Informations forums :
    Inscription : Juillet 2002
    Messages : 85
    Points : 65
    Points
    65
    Par défaut
    include ne fait qu'inclure un fichier. Le problème de sécurité peut se poser au niveau du fichier de connexion.
    Quel est la procédure que tu utilises. En quoi penses-tu que ce n'est pas sur ?

    Un bout de code ?
    "Software is like sex, it's better when it's free" -- Linus Torvalds

  3. #3
    Membre habitué Avatar de ..:: Atchoum ::..
    Profil pro
    Inscrit en
    Avril 2003
    Messages
    159
    Détails du profil
    Informations personnelles :
    Âge : 40
    Localisation : France

    Informations forums :
    Inscription : Avril 2003
    Messages : 159
    Points : 156
    Points
    156
    Par défaut Re: Sécurisation de connexion base de donnée(include?)
    Bonsoir,
    Citation Envoyé par gwendy
    ... j'utilise un "include" ...Apparament ce systeme n'est ps très fiable ...
    Déjà, rien n'est fiable a 100% nous sommes tous d'accord...

    Mais en quoi n'est ce pas fiable ? Il y a des facon de l'utiliser c'est sur mais

    par exemple :
    <?php
    include("global/config.inc.php");
    ?>
    est fiable

    Le contenu serait par exemple :

    <?php
    $bdd_host
    ="localhost";
    $bdd_user="";
    $bdd_pass=""
    ?>
    A part avoir accés au serveur, personne ne pourra les récupérer.

    ++
    On ne peut empêcher les vagues, mais on peut apprendre à les surfer...
    http://blog.plopix.net
    http://www.ez-france.org

  4. #4
    Nouveau membre du Club
    Inscrit en
    Octobre 2004
    Messages
    29
    Détails du profil
    Informations forums :
    Inscription : Octobre 2004
    Messages : 29
    Points : 26
    Points
    26
    Par défaut
    Un bout dse code?

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    include&#40;"connect.php"&#41;;
    dans mon script qui requiert l'acces a la base de données
    et:
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
     
    $host = "...";
    $user = "...";
    $pass = "...";
    $bdd = "...";
    @mysql_connect&#40;$host,$user,$pass&#41;
    pour le connect.php

    Mais un utilisateur peut inclure le fichier sur son propre site en utilisant ma BDD?(je pense à
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    include&#40;"nom de mon site/connect.php"&#41;;
    )

    PS: je trouve que la FAQ manque de petites astuces pour "sécuriser" son code (et ses requetes) si il en existe bien sur..

  5. #5
    Membre éprouvé Avatar de alain31tl
    Homme Profil pro
    Inscrit en
    Novembre 2005
    Messages
    935
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations forums :
    Inscription : Novembre 2005
    Messages : 935
    Points : 1 019
    Points
    1 019
    Par défaut
    Salut

    Vas-y !
    Essaye d'ouvrir la source de ton fichier connect.php
    Essaye aussi d'ouvrir celle qui contient ton "include("connect.php");"

    Tu me diras si tu as lu quelque chose.
    Ce n'est pas parce que les choses sont difficiles qu'on n'ose pas les entreprendre.
    C'est parce qu'on n'ose pas les entreprendre qu'elles sont difficiles.

  6. #6
    Membre habitué Avatar de ..:: Atchoum ::..
    Profil pro
    Inscrit en
    Avril 2003
    Messages
    159
    Détails du profil
    Informations personnelles :
    Âge : 40
    Localisation : France

    Informations forums :
    Inscription : Avril 2003
    Messages : 159
    Points : 156
    Points
    156
    Par défaut
    Citation Envoyé par gwendy
    Mais un utilisateur peut inclure le fichier sur son propre site en utilisant ma BDD?(je pense à
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    include&#40;"nom de mon site/connect.php"&#41;;
    )
    Pour faire cela, il sera forcé de mettre http://nom_de_ton_site
    De ce fait, ton fichier connect.php sera interpréter par ton serveur et le petit malin qui essaie de faire ca recuperera un fichier vide.

    En plus de ca, il faut qu'il connaisse le chemin de ton fichier de config.
    On ne peut empêcher les vagues, mais on peut apprendre à les surfer...
    http://blog.plopix.net
    http://www.ez-france.org

  7. #7
    Nouveau membre du Club
    Inscrit en
    Octobre 2004
    Messages
    29
    Détails du profil
    Informations forums :
    Inscription : Octobre 2004
    Messages : 29
    Points : 26
    Points
    26
    Par défaut
    Je suis rassuré....

    Merci pour votre aide, je pense que ca mérite un "résolu"

  8. #8
    Membre expérimenté

    Profil pro
    Inscrit en
    Janvier 2005
    Messages
    1 278
    Détails du profil
    Informations personnelles :
    Localisation : France, Gironde (Aquitaine)

    Informations forums :
    Inscription : Janvier 2005
    Messages : 1 278
    Points : 1 639
    Points
    1 639
    Par défaut
    Si tu es parano, tu peux aussi protéger ton dossier include par un .htaccess avec comme seule instruction : "deny from all".
    N'importe quel utilisateur extérieur récoltera une erreur 403 en essayant d'afficher ton dossier. Ton fichier sera cependant accessible par un script présent sur ton serveur, avec justement un include.

+ Répondre à la discussion
Cette discussion est résolue.

Discussions similaires

  1. Sécuriser connexion base de donnée
    Par fdc.j dans le forum JDBC
    Réponses: 14
    Dernier message: 26/08/2009, 17h21
  2. [Sécurité] Connexion base de données
    Par jmayeux dans le forum Langage
    Réponses: 6
    Dernier message: 20/06/2007, 19h14
  3. [Tomcat][Oracle] connexion base de donnes debutant....
    Par yogz dans le forum Tomcat et TomEE
    Réponses: 8
    Dernier message: 16/07/2004, 14h32
  4. [XMLRAD] Connexion Base de données Informix
    Par clisson dans le forum XMLRAD
    Réponses: 3
    Dernier message: 14/01/2003, 14h46
  5. connexion base de donné
    Par saidi dans le forum MFC
    Réponses: 3
    Dernier message: 07/08/2002, 23h22

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo