Ah ok, j'avais pas vu qu'on était 3 sur le thread.
Ok donc je résume pour que ce soit clair (pour moi) :
- je crée un utilisateur MySQL (que j'appelle X par exemple) avec des droits super limité (enfin les droits que je suppose qu'il doit avoir).
- quand X (qui peut être n'importe quel internaute et donc une multitude d'internaute en même temps) se connecte à la table de la BD, le script PHP va récupérer les logins d'accès à la table dans un fichier qui se trouve en dehors du ROOT WEB (ce qui me semble logique).
En fait ce qui ne me semblait pas logique du tout c'est que plusieurs internaute se connecte à la base MySQL avec le même identifiant et le même mot de passe, tu comprends ?
la communauté d'entraide francophone dédiée au PHP
Même login et mot de passe pour tous avec MySQL?
Eléphant du PHP |
184 Messages
En fait ce qui ne me semblait pas logique du tout c'est que plusieurs internaute se connecte à la base MySQL avec le même identifiant et le même mot de passe, tu comprends ?
Je crains de me répêter mais (pour la dernière fois) ce n'est pas l'utilisateur qui se connecte à la base mais le script, l'utilisateur n'est que le déclencheur mais il ne se connecte JAMAIS à la base de données.
Ajoloca (je me répête encore) pourrais tu détailler ton argument sur les aspirateurs de sites?
Re,
Les aspirateurs de sites sont des outils capables de "recopier" un site entier (pages (x)html, scripts JS, PHP, liens, etc) sur ta machine. Donc si ton code contient le mot de passe en dur, il suffit de lire ce source pour le récupérer.
Pour une meilleure explication, rien ne vaut un exemple http://www.httrack.com/page/1/fr/index.html
Les aspirateurs de sites sont des outils capables de "recopier" un site entier (pages (x)html, scripts JS, PHP, liens, etc) sur ta machine. Donc si ton code contient le mot de passe en dur, il suffit de lire ce source pour le récupérer.
Pour une meilleure explication, rien ne vaut un exemple http://www.httrack.com/page/1/fr/index.html
Deux choses sont infinies, l'Univers et la sottise humaine!!
Mais je ne suis pas sur de ce que j'affirme au sujet de l'Univers.
A. Einstein
Mais je ne suis pas sur de ce que j'affirme au sujet de l'Univers.
A. Einstein
J'ai bien compris Graphistnet que ce n'est pas l'utilisateur qui se connecte. Mais tu n'as pas compris ce que je voulais dire.
Aj : Quant aux aspirateurs de sites, je les comprends bien aussi. HTTRACK a des limites tandis que DOWNTHEMALL! n'en a presque pas et est bien plus puissant. http://www.downthemall.net/.
Le problème n'est pas de savoir où je mets le script PHP qui contient L'UN des identifiants et L'UN des mots de passe (et des identifiants qui permettent les moins de choses possibles) : ça je sais. EN DEHORS DU ROOT !!
C'est juste que je trouvais cela étrange que des centaines d'internautes se connectent VIA le script PHP (Ca c'est pour Graphistnet !
) avec les mêmes identifiants. Que les identifiants se trouvent sous le WWW ou ailleurs, là n'était pas le propos.
Le but étant, car il y en a un, qu'on ne peut pas savoir qui se connecte à la base MySQL sinon en leur collant des SESSIONs.
A +
Zeuf
Aj : Quant aux aspirateurs de sites, je les comprends bien aussi. HTTRACK a des limites tandis que DOWNTHEMALL! n'en a presque pas et est bien plus puissant. http://www.downthemall.net/.
Le problème n'est pas de savoir où je mets le script PHP qui contient L'UN des identifiants et L'UN des mots de passe (et des identifiants qui permettent les moins de choses possibles) : ça je sais. EN DEHORS DU ROOT !!
C'est juste que je trouvais cela étrange que des centaines d'internautes se connectent VIA le script PHP (Ca c'est pour Graphistnet !
) avec les mêmes identifiants. Que les identifiants se trouvent sous le WWW ou ailleurs, là n'était pas le propos.Le but étant, car il y en a un, qu'on ne peut pas savoir qui se connecte à la base MySQL sinon en leur collant des SESSIONs.
A +
Zeuf
Re,
Le lien c'était juste pour l'exemple, des aspirateurs il doit-y-en avoir des milliers, bien sur certains + puissants que d'autres. Mais il existe aussi des parades, comme toujours, plus ou mois efficaces.
Le lien c'était juste pour l'exemple, des aspirateurs il doit-y-en avoir des milliers, bien sur certains + puissants que d'autres. Mais il existe aussi des parades, comme toujours, plus ou mois efficaces.
Deux choses sont infinies, l'Univers et la sottise humaine!!
Mais je ne suis pas sur de ce que j'affirme au sujet de l'Univers.
A. Einstein
Mais je ne suis pas sur de ce que j'affirme au sujet de l'Univers.
A. Einstein
Eléphant du PHP |
184 Messages
Le but étant, car il y en a un, qu'on ne peut pas savoir qui se connecte à la base MySQL sinon en leur collant des SESSIONs.
Bon, moi je jette l'éponge ](*,) et je me couche
newbie
Invité n'ayant pas de compte PHPfrance
Mais par contre si on a le mot de passe administrateur de base de données et l'identifiant root, qu'est ce qui est dangereux? On peut donc attaquer la base par des requetes sql?