PHPfrance

la communauté d'entraide francophone dédiée au PHP

PHP/MySql et sécurité du mot de passe

Répondre


Cette question est un moyen d’empêcher des soumissions automatisées de formulaires par des robots.
Smileys
:D :) :( :o :shock: :? 8-) :lol: :x :P :oops: :cry: :evil: :twisted: :roll: :wink: :!: :?: :idea: :arrow: :| :mrgreen: =D> #-o =P~ :^o :non: :priere: 8-|
Voir plus de smileys
  Revue du sujet
 

  Étendre la vue Revue du sujet : PHP/MySql et sécurité du mot de passe

par Xenon_54 » 17 mai 2005, 01:35

Je ne vois toujours pas le problème. Faut pas chercher des problèmes là où il y en a pas.

par Nerva » 17 mai 2005, 00:17

Oui, j'ai bien compris que le code-source des fichiers PHP est invisible. Mais j'avais lu quelque part qu'en plaçant le fichier dans un répertoire protégé par .htaccess, la sécurité était encore accrue, bien que je n'ai pas compris comment (pour un compteur utilisant une base de données, par exemple) le moteur pouvait accéder au fichier caché si il est inaccessible sans le mot de passe. Je ne sais pas si je suis bien clair...

par Xenon_54 » 17 mai 2005, 00:08

Je te propose un truc:
Essaie d'accéder toi-même à ton mot de passe directement à partir du web. Si tu es capable, dis-le moi, je vais tout de suite sécuriser mon site!

Un fichier .htaccess ne sécurise pas un accès direct au serveur par FTP ou SSH. Dans ton cas, le fichier .htaccess est inutile.

Je te donne même un exemple! Essaie de découvrir le mot de passe qui se trouve dans ce fichier: http://www.phpfrance.com/forums/config.php
Si tu réussis, je te dis bravo!

Avant d'utiliser un fichier .htaccess, il faut savoir son utilité. Un fichier .htaccess permet de créer des instructions à envoyer un serveur web lors de l'accès aux pages à partir du web. Et dans le cas présent, un mot de passe est inutile puisque PHP ne divulgue pas les variables utilisées, ni même le code. S'il fallait que les fichiers de configuration soient visibles à partir du web (à moins de configuration baclée), je crois qu'on serait dans un sérieux pétrin.

Bref, j'en vois pas l'utilité.

par Nerva » 16 mai 2005, 23:40

Ben si, au contraire, ce n'est pas une question de manque de confiance, mais simplement que je n'ai pas encore trouvé de bon tutoriel pour installer .htaccess ! Mon niveau est "grand débutant" en PHP et fonctions avancées !

Pour empêcher de lister le contenu des répertoires, j'ai déjà placé un fichier index.html vierge dans chacun. Mais en racine, c'est impossible puisque la page d'accueil en question porte déjà le nom de index.htm.

Mais avant de parvenir à utiliser correctement .htaccess, je peux toujours placer le fichier_global.php (celui qui contient le mot de passe) ailleurs qu'en racine, dans un répertoire où le listing est impossible !?!

par Xenon_54 » 16 mai 2005, 23:37

Pourquoi un fichier .htaccess si on sait, à la base, que les fichiers .php (leur source) ne peuvent être lu?

par albat » 16 mai 2005, 23:32

Un truc : :pouce:

Si tu n'as pas confiance dans la protection assurée sur les serveurs par l'hébergeur
et si tu n'es pas convaincu de l'efficacité de la protection du fichier .htaccess,
il existe une astuce pour interdire aux internautes de voir le contenu de tes dossiers.

Dans chaque dossier de ton arborescence, tu places un fichier index.htm
qui redirige automatiquement vers la page d'accueil de ton site. ;)

par Nerva » 16 mai 2005, 23:24

Oui, j'avais mis "Résolu" pour la question initiale, mais...
Dans mon cas, l'hébergement se fait chez Free. Sur leur documentation, ils expliquent comment activer l'option .htaccess mais la procédure semble différente par rapport à ce que j'ai lu ça et là : rien n'est expliqué sur la création des répertoires, de leurs labels, etc...

par albat » 16 mai 2005, 16:36

:roll: Et question bête, ça se verrouille comment, un serveur ?
Si tes pages sont chez un hébergeur digne de ce nom, l'accès aux fichiers du serveur est verrouillé.

par Nerva » 16 mai 2005, 15:40

Merci bien...

par zeus » 16 mai 2005, 15:12

renseigne toi sur les fichier .htaccess !!!

Ca sert, entre autre, a empecher l'accès aux pages pour les utilisateurs indésirables !!!!

par Nerva » 16 mai 2005, 15:10

:roll: Et question bête, ça se verrouille comment, un serveur ?

par zeus » 16 mai 2005, 15:07

Vu que le mot de passe est utilisé dans un script php, il ne sort pas du serveur et il est impossible de récupérer ce mot de passe via le fichier !!!

Après, si quelqu'un arrive à pirater ton serveur et a acceder aux fichiers sources de ton site, il aura le mot de passe !!! Mais là, la sécurité concerne le vérouillage de ton serveur !!!!

PHP/MySql et sécurité du mot de passe

par Nerva » 16 mai 2005, 14:51

Bonjour.

Pour toute application utilisant PHP/MySql, on doit charger sur le serveur un fichier contenant le mot de passe, pour que les pages adéquates puissent accéder à la base de données. Mais qu'en est-il au niveau sécurité ? Quelle est la protection effective du dit fichier ?

Merci.