[Sécurité] Sécurisation de connexion base de donnée(include?)

Salutatiosns..


Sur ms pages j'utilise un "include" où je garde mes informations de connexion a ma base de données. Apparament ce systeme n'est ps très fiable mais je ne sais pas quoi mettre d'autre...
Y a t'il un moyen de "sécuriser" l'acces a une base de donné via "include"?

Merci

include ne fait qu'inclure un fichier. Le problème de sécurité peut se poser au niveau du fichier de connexion.
Quel est la procédure que tu utilises. En quoi penses-tu que ce n'est pas sur ?

Un bout de code ?

Bonsoir,

Citation:

---

Envoyé par gwendy

... j'utilise un "include" ...Apparament ce systeme n'est ps très fiable ...

---

Déjà, rien n'est fiable a 100% nous sommes tous d'accord...

Mais en quoi n'est ce pas fiable ? Il y a des facon de l'utiliser c'est sur mais

par exemple :

Citation:

---

<?php
include("global/config.inc.php");
?>

---

est fiable

Le contenu serait par exemple :

Citation:

---

<?php
$bdd_host="localhost";
$bdd_user="";
$bdd_pass=""
?>

---

A part avoir accés au serveur, personne ne pourra les récupérer.

++

Un bout dse code?

Code:

---

include("connect.php");

---

dans mon script qui requiert l'acces a la base de données
et:

Code:

---

1 2 3 4 5 6

$host = "..."; $user = "..."; $pass = "..."; $bdd = "..."; @mysql_connect($host,$user,$pass)

---

pour le connect.php

Mais un utilisateur peut inclure le fichier sur son propre site en utilisant ma BDD?(je pense à

Code:

---

include("nom de mon site/connect.php");

---

)

PS: je trouve que la FAQ manque de petites astuces pour "sécuriser" son code (et ses requetes) si il en existe bien sur..

Salut

Vas-y !
Essaye d'ouvrir la source de ton fichier connect.php
Essaye aussi d'ouvrir celle qui contient ton "include("connect.php");"

Tu me diras si tu as lu quelque chose. :wink:

Citation:

---

Envoyé par gwendy

Mais un utilisateur peut inclure le fichier sur son propre site en utilisant ma BDD?(je pense à

Code:

---

include("nom de mon site/connect.php");

---

)

---

Pour faire cela, il sera forcé de mettre http://nom_de_ton_site
De ce fait, ton fichier connect.php sera interpréter par ton serveur et le petit malin qui essaie de faire ca recuperera un fichier vide.

En plus de ca, il faut qu'il connaisse le chemin de ton fichier de config.

Je suis rassuré....

Merci pour votre aide, je pense que ca mérite un "résolu"

Si tu es parano, tu peux aussi protéger ton dossier include par un .htaccess avec comme seule instruction : "deny from all".
N'importe quel utilisateur extérieur récoltera une erreur 403 en essayant d'afficher ton dossier. Ton fichier sera cependant accessible par un script présent sur ton serveur, avec justement un include.