Forum d'entraide PHPFrance

Bonjour.

Pour toute application utilisant PHP/MySql, on doit charger sur le serveur un fichier contenant le mot de passe, pour que les pages adéquates puissent accéder à la base de données. Mais qu'en est-il au niveau sécurité ? Quelle est la protection effective du dit fichier ?

Merci.

Vu que le mot de passe est utilisé dans un script php, il ne sort pas du serveur et il est impossible de récupérer ce mot de passe via le fichier !!!

Après, si quelqu'un arrive à pirater ton serveur et a acceder aux fichiers sources de ton site, il aura le mot de passe !!! Mais là, la sécurité concerne le vérouillage de ton serveur !!!!

Et question bête, ça se verrouille comment, un serveur ?

renseigne toi sur les fichier .htaccess !!!

Ca sert, entre autre, a empecher l'accès aux pages pour les utilisateurs indésirables !!!!

Merci bien...

Et question bête, ça se verrouille comment, un serveur ?

Si tes pages sont chez un hébergeur digne de ce nom, l'accès aux fichiers du serveur est verrouillé.

Oui, j'avais mis "Résolu" pour la question initiale, mais...
Dans mon cas, l'hébergement se fait chez Free. Sur leur documentation, ils expliquent comment activer l'option .htaccess mais la procédure semble différente par rapport à ce que j'ai lu ça et là : rien n'est expliqué sur la création des répertoires, de leurs labels, etc...

Un truc :

Si tu n'as pas confiance dans la protection assurée sur les serveurs par l'hébergeur
et si tu n'es pas convaincu de l'efficacité de la protection du fichier .htaccess,
il existe une astuce pour interdire aux internautes de voir le contenu de tes dossiers.

Dans chaque dossier de ton arborescence, tu places un fichier index.htm
qui redirige automatiquement vers la page d'accueil de ton site.

Pourquoi un fichier .htaccess si on sait, à la base, que les fichiers .php (leur source) ne peuvent être lu?

Ben si, au contraire, ce n'est pas une question de manque de confiance, mais simplement que je n'ai pas encore trouvé de bon tutoriel pour installer .htaccess ! Mon niveau est "grand débutant" en PHP et fonctions avancées !

Pour empêcher de lister le contenu des répertoires, j'ai déjà placé un fichier index.html vierge dans chacun. Mais en racine, c'est impossible puisque la page d'accueil en question porte déjà le nom de index.htm.

Mais avant de parvenir à utiliser correctement .htaccess, je peux toujours placer le fichier_global.php (celui qui contient le mot de passe) ailleurs qu'en racine, dans un répertoire où le listing est impossible !?!

Je te propose un truc:
Essaie d'accéder toi-même à ton mot de passe directement à partir du web. Si tu es capable, dis-le moi, je vais tout de suite sécuriser mon site!

Un fichier .htaccess ne sécurise pas un accès direct au serveur par FTP ou SSH. Dans ton cas, le fichier .htaccess est inutile.

Je te donne même un exemple! Essaie de découvrir le mot de passe qui se trouve dans ce fichier: http://www.phpfrance.com/forums/config.php
Si tu réussis, je te dis bravo!

Avant d'utiliser un fichier .htaccess, il faut savoir son utilité. Un fichier .htaccess permet de créer des instructions à envoyer un serveur web lors de l'accès aux pages à partir du web. Et dans le cas présent, un mot de passe est inutile puisque PHP ne divulgue pas les variables utilisées, ni même le code. S'il fallait que les fichiers de configuration soient visibles à partir du web (à moins de configuration baclée), je crois qu'on serait dans un sérieux pétrin.

Bref, j'en vois pas l'utilité.

Oui, j'ai bien compris que le code-source des fichiers PHP est invisible. Mais j'avais lu quelque part qu'en plaçant le fichier dans un répertoire protégé par .htaccess, la sécurité était encore accrue, bien que je n'ai pas compris comment (pour un compteur utilisant une base de données, par exemple) le moteur pouvait accéder au fichier caché si il est inaccessible sans le mot de passe. Je ne sais pas si je suis bien clair...

Je ne vois toujours pas le problème. Faut pas chercher des problèmes là où il y en a pas.