Sécuriser connexion à la base

Version imprimable

18/04/2013, 16h53
poussinvert

Sécuriser connexion à la base
Bonjour,
Je souhaiterais avoir une petite information concernant la sécurité à la connexion à une base de données Mysql.

Je souhaite créer une sorte de "petit CMS", pour me faire un peu la main. Pour ce qui est de la connexion à la base de données, il faut que je précise le mot de passe de la base... en clair, non ?
J'ai téléchargé un petit CMS appelé "wolf cms" pour voir comment c'est fait, et ils ont créé un fichier de configuration à la racine, avec le mot de passe en clair dedans :
Code:

1 2 3 4 define('DB_DSN', 'mysql:dbname=wolfcms;host=localhost;port=3306'); define('DB_USER', 'root'); define('DB_PASS', 'monpass'); define('TABLE_PREFIX', '');
Est-ce vraiment sécurisé ?
Est ce qu'il existe des attaques qui peuvent voir l'intégralité de ce fichier ?

Merci pour vos réponse :)
18/04/2013, 17h04
sabotage

Les éléments de connexion sont forcemment écrits quelque part.
Le contenu du fichier .php n'est pas distribué. Tu peux de plus le mettre dans une arborescence hors du serveur web.
18/04/2013, 19h16
ABCIWEB

...et si par facilité tu mets le fichier de connexion dans l'arborescence web rien ne t'empêche de le mettre dans un dossier protégé par un .htaccess avec la mention 'deny from all'. On utilise préférentiellement la solution décrite par sabotage et sinon celle-ci.

Après si tu ne protège pas du tout ton fichier .php c'est théoriquement plus risqué mais pratiquement tant que c'est un fichier .php on ne peut pas lire son contenu sauf si on peut le télécharger...
20/04/2013, 03h47
ericd69

salut,

un moyen beaucoup plus sécurisé existe c'est d'employer un utilisateur mysql qui n'a que le droit "execute" sur une base où tu n'appelles que des procédures stockées (tu te crées un API avec)...
l'utilisateur ne pouvant pas faire de select, insert, delete, update, create, show, etc...
à toi, ensuite, de sécuriser les procédures via un système d'identification et de droits lié à l'utilisateur applicatif (celui qui s'identifie dans ton cms) pour savoir s'il peut ou pas exécuter les actions de la procédure appelée...
tu isoles complétement php de mysql... aucune information sur les tables n'apparait ainsi... tu peux même tracer plus facilement les actions entièrement coté mysql...
mais ça implique de te mettre au procédural coté mysql ce qui peut te paraitre plus compliqué...:ccool:
21/04/2013, 13h02
poussinvert

Ok, merci pour vos infos.
Je suis tombé sur ça aussi : http://www.developpez.net/forums/d11...-base-donnees/ qui complète aussi ce que vous dites.
27/09/2014, 20h30
trollfarceur

Moi perso j'ai mis mon dossier de config dans un dossier et protege par un htaccess avec acces par mot de passe
27/09/2014, 22h16
ericd69

Citation:

Envoyé par trollfarceur

Moi perso j'ai mis mon dossier de config dans un dossier et protege par un htaccess avec acces par mot de passe

rien n'empêche donc un mec de brute forcer ton dossier...

celui-ci doit être si possible hors de la zone web "visible" (à partir généralement du dossier www) et uniquement accessible via include, ce qui limite les risques de compromission...:aie: