Forum Imprimante

 Oublié Pass?
 Register
Rechercher
Voir: 1497|Réponse: 11

Mysql_connect() php

[Copier lien]

Post sur le : 2012-12-28 11:51:51 |Tout les posts
Bonjour,
j'ai créé mon site web en PHP, il me reste plus que l'héberger, mais une question m'angoisse, c'est que si je mets les mot de passe et username donné par l'hébergeur de ma base de données direct dans la fonction mysql_connect("server","username","password") il sera possible que tout personne pouvant accéder à mon fichier php de les lire facilement, y a t-il un moyen de les caché ou rendre leurs lisibilité difficile???
merci d'avance.
Réponse

Accessoires Signaler

Post sur le : 2012-12-28 13:26:42 |Tout les posts
Ton fichier php est visible uniquement pour ceux qui ont accès à ton FTP.
Réponse

Accessoires Signaler

Post sur le : 2012-12-28 14:36:34 |Tout les posts
Bonjour
Ça c'est la théorie... s'il y a un problème chez l'hébergeur, on peut voir du source PHP , ça m'est arrivé. Sans parler des éventuels bugs qu'on peut commettre lors des modifs testées trop rapidement
Réponse

Accessoires Signaler

Post sur le : 2012-12-28 16:20:44 |Tout les posts
Bonjour
Le mieux est de mettre la partie qui contient tes identifiants dans un autre fichier et de faire un include de ce fichier.
Il faut que ce fichier soit dans un répertoire qui ne soit pas accessible par HTTP. Souvent, les hébergeurs te fournissent une partie 'www' pour le site et une autre, inaccessible, où tu pourrais mettre ce fichier
Sinon, tu crées toi-même un dossier inaccessible en mettant dedans un fichier .htaccess qui contient simplement la ligne:
deny from all
Réponse

Accessoires Signaler

Post sur le : 2012-12-28 18:08:07 |Tout les posts
Bonjour,
Même si le sujet est un peu vieux j'apporte mon aide.
Techniquement cette méthode risque de poser quelques problèmes dans la mesure ou l'accès au dossier se fait après avoir rentré un identifiant et un mot de passe.
De plus, les fichiers PHP ne peuvent être téléchargés que si la personne à un accès à ton FTP chose que ton hébergeur s'il est un minimum sérieux à suffisamment protégé.
Réponse

Accessoires Signaler

Post sur le : 2012-12-28 19:16:43 |Tout les posts
Bonjour,
Le sujet ne date que d'hier. Si ça c'est vieux, j'ai dépassé le stade du fossile ^^
Merci d'apporter ton aide, mais tu te trompes.
Techniquement cette méthode risque de poser quelques problèmes dans la mesure ou l'accès au dossier se fait après avoir rentré un identifiant et un mot de passe.
Tu ne sembles pas faire la différence entre un accès par HTTP et un accès par include. Le fichier .htaccess agit sur les accès http mais pas sur les fichier inclus. Donc aucun mot de passe à taper pour le fichier inclus (s'il n'y en avait pas pour le fichier principal)
les fichiers PHP ne peuvent être téléchargés que si la personne à un accès à ton FTP
Comme je le disais plus haut à maxime71500, ça c'est la théorie. Les fichiers php sont supposés passer par l'interpréteur PHP avant d'être envoyés à l'internaute, mais j'ai déjà vu le cas où le source apparaissait en clair. Un simple rafraîchissement a fait disparaître le problème, mais il est clair que l'hébergeur a eu momentanément une défaillance.
Comme je le disais également plus haut à maxime71500, je l'ai vu aussi, il arrive que suite à une modif, on remette en ligne un script avec une erreur qui rend le PHP visible.
Et il y a encore le cas, vu plusieurs fois sur ce forum, ou on poste un bout de code pour demander de l'aide. Et on oublie (surtout les débutants) de masquer les identifiants.
Réponse

Accessoires Signaler

Post sur le : 2012-12-28 20:58:16 |Tout les posts
Au lieu de mettre un système d'authentification pourquoi ne pas utiliser un deny from all. C'est plus simple etplus rapide.
Réponse

Accessoires Signaler

Post sur le : 2012-12-28 22:12:56 |Tout les posts
Je ne vois pas très bien en quoi mettre deny from all comme tu le suggères aujourd'hui est plus simple et plus rapide que de mettre deny from all comme je le suggérais hier.
Réponse

Accessoires Signaler

Post sur le : 2012-12-28 23:39:36 |Tout les posts
Je suis d'accord que le risque zéro n'existe pas mais je ne pense pas que son site internet est un site contenant des informations ultras sensibles. Si c'est un site personnel tu peux écrire tes identifiants directement. Si toutefois tu veux empêcher la lecture de ton MDP et de ton identifiant en cas d'erreur tu peux appliquer le code suivant :  
getMessage());  
}  
?>
Apres tu crée un fichier .htaccess expliqué comme précédemment pour interdire l'accès aux utilisateurs et uniquement le donner au serveur.
Réponse

Accessoires Signaler

Post sur le : 2012-12-29 01:01:48 |Tout les posts
Amusant.
Après avoir expliqué que ma solution ne marchait pas, tu la proposes comme si c'était la tienne.
Réponse

Accessoires Signaler

Post sur le : 2012-12-29 02:46:26 |Tout les posts
Je voulais pas donner cette impression mais seulement aider la personne. Je suis conscient que l'idée du fichier .htaccess vient de toi et je ne veux en aucun cas me l'approprier dans la mesure ou je ne la connaissais pas.
Pour le reste je lui fourni juste une astuce en cas ou il y aurait une erreur avec les identifiants.
Réponse

Accessoires Signaler

Post sur le : 2012-12-29 04:32:17 |Tout les posts
merci a vous tous, tout ce que vous avez dit et interessant et bon a savoir surtout ton astuce le pere, mille merci a vous.
Réponse

Accessoires Signaler

Vous devez vous connecter d'abord connect | Register

Contact Us| Archive| Forum Imprimante

GMT+1, 2024-03-29 14:15

Powered by Discuz! 7.2

Release 20121101, © 2001-2024 Forum Imprimante.

Top