Bonjour
Je voulais savoir s'il y avait moyen de sécuriser la connexion mysql en évitant de mettre le mot de passe en clair dans la fonction mysql_connect() ?
Merci d'avance
la communauté d'entraide francophone dédiée au PHP
Sécuriser password mysql_connect()
On va voir la question sous un angle différent...
En quoi est-ce une faille de sécurité pour toi ?
Pour moi ce n'en est pas une, c'est un dialogue interne au serveur et les fichiers se trouvent sur le serveur.
Après si tu pars du principe que ton serveur est compromis... C'est pas la peine de chercher à chiffre quoi que ce soit cela ne servira pas à grand chose.
Si ton serveur mysql est sur un autre serveur et que tu passes par une liaison non sécurisée (internet par exemple) tu peux configurer mysql pour utiliser SSL.
http://dev.mysql.com/doc/refman/5.1/en/ ... r-ssl.html
En quoi est-ce une faille de sécurité pour toi ?
Pour moi ce n'en est pas une, c'est un dialogue interne au serveur et les fichiers se trouvent sur le serveur.
Après si tu pars du principe que ton serveur est compromis... C'est pas la peine de chercher à chiffre quoi que ce soit cela ne servira pas à grand chose.
Si ton serveur mysql est sur un autre serveur et que tu passes par une liaison non sécurisée (internet par exemple) tu peux configurer mysql pour utiliser SSL.
http://dev.mysql.com/doc/refman/5.1/en/ ... r-ssl.html
Je vais expliquer exactement la chose ^^
En fait je suis en stage de fin d'étude et on m'a demandé de faire une page web qui permet d'afficher des données dans un tableau pour faire simple.
Mon "chef" m'a demandé si "on peut pas faire autrement que de mettre des mots de passe en clair dans la fonciton mysql_connect ?"
Sachant que c'est un serveur interne sur laquelle la page se trouve et qu'elle n'est accessible que par un VPN interne je ne vois pas non plus le risque ..
Surtout que le compte utilisé permet juste de lire les tables et pas de les modifiés.
En fait je suis en stage de fin d'étude et on m'a demandé de faire une page web qui permet d'afficher des données dans un tableau pour faire simple.
Mon "chef" m'a demandé si "on peut pas faire autrement que de mettre des mots de passe en clair dans la fonciton mysql_connect ?"
Sachant que c'est un serveur interne sur laquelle la page se trouve et qu'elle n'est accessible que par un VPN interne je ne vois pas non plus le risque ..
Surtout que le compte utilisé permet juste de lire les tables et pas de les modifiés.
salut,
gestion de droit unix => chmod.
en clair le propriétaire du fichier doit être celui qui exécute httpd et le chmod serait 600 (lecture écriture pour le proprio et rien pour les autres).
ceci ce n'est pas un problème sachant que cela reste sur le résea interne de l'entreprise.
Le mec qui arrive a lire le contenu du fichier il a accès au serveur sur lequel il y a le fichier du coup il ne devrait pas avoir de soucis a accéder au reste
il est aussi possible de configurer mysql pour avoir un accès sans mot de passe, mais je te laisse imaginer la réponse pour le coté sécurité
y a p'tet un truc avec gestion de certificat et clef privé / publique ? (mais ça m'étonnerais fortement et pas ne l'utilisera pas).
donc => mot de passe dans le code de toute façon tu n'as pas le choix
@+
gestion de droit unix => chmod.
en clair le propriétaire du fichier doit être celui qui exécute httpd et le chmod serait 600 (lecture écriture pour le proprio et rien pour les autres).
ceci ce n'est pas un problème sachant que cela reste sur le résea interne de l'entreprise.
Le mec qui arrive a lire le contenu du fichier il a accès au serveur sur lequel il y a le fichier du coup il ne devrait pas avoir de soucis a accéder au reste
il est aussi possible de configurer mysql pour avoir un accès sans mot de passe, mais je te laisse imaginer la réponse pour le coté sécurité
y a p'tet un truc avec gestion de certificat et clef privé / publique ? (mais ça m'étonnerais fortement et pas ne l'utilisera pas).
donc => mot de passe dans le code de toute façon tu n'as pas le choix
@+
Il en faut peu pour être heureux ......