Sécurité MDP

Répondre
Michel_57
le 26/08/2003 à 00:29
Michel_57
<?
$base = mysql_connect ('mon_serveur', 'login', 'password');
mysql_select_db ('ma_base_de_donnees', $base) ;
?>

C'est le code du cours !
Mais lorsqu'on tape cela dans une page, un utilisateur peut uploader la page, l'éditer, et voir le mot de passe non ?

Je sais que l'on ne peut pas éditer de pages PHP sur le net car cela passe par le serveur qui fournit une page HTML avec les renseignements nécessaires, donc théoriquement ces mots de passe ne sont pas visibles.
Mais ce que je voudrais savoir, c'est si on ne peut pas intercepter la page en PHP qui est uploader sur l'hébergeur, sans l'ouvrir, mais en la téléchargeant ??

J'espere que je suis clair ! Merci pour vos réponses
Merci LEPHPFACILE et tous ses membres :)
Michel_57
le 26/08/2003 à 00:31
Michel_57
PS : Ton site est bien fait GLOBULE Félicitations !
(je sais je ne devrais pas écrire ca dans le forum, mais c'est mon premier message ici alors on peut faire une exception !
Merci LEPHPFACILE et tous ses membres :)
glasyeur
le 26/08/2003 à 00:37
glasyeur
heu dsl jai pas bien compris tu veux dire que si tu tape ton mot de passe et que qq telecharge ta page avec le navigateur ou avec un aspirateur ! il peut avoir ton mdp?
bin je sais pas je ne connais pas d'aspirateur qui enrengistre sous .php!
sinon tu met une conection avec les mot de passe dans des variables et tu met les variable dans un fichier require.php
et dans ta page tu met require("require.php");
par exemople
$pseudo = "pseudo_login";
$passe = "ton passe";
et wala et le require tu le met dans un autre serveur si tu as peur
mais je vois pas pourquoi un hacher chercherais ton mot de passe puisque pour utiliser ta bdd il doit mettre ses fichier dans ton ftp et je vois pas pourquoi un haker gaspieurais son temps a te nuker ou qq choser comme sa et a pirater ton ftp !mais sa revien au meme si il met ses fichie tu les efface powah !
mais bon je suis sur que je suis completeent sortie du sujet la :-p
lut tlm
LA GLOBULE
le 26/08/2003 à 00:48
LA GLOBULE
Ca sert a rien un fichier de configuration sur un autre serveur, surtout que bien souvent, ben ca ne fonctionne pas...

Place ce fichier dans un repertoire, et protege le avec un htaccess.

Mais sinon, que ce soit en aspirant le site ou en allant à ce fichier dans le navigateur, jamais de ce qu'il y a ecrit dedans n'apparait (y a aucun echo dans le fichier).
glasyeur
le 26/08/2003 à 01:11
glasyeur
ouai parseque sa devien en .htm!
et pis le .htacces c'est pas tlm qui sais s'enservir
et puisque tu dis qu'il ya aucun echo alors pour le mettre en protection ?
lut tlm
LA GLOBULE
le 26/08/2003 à 01:14
LA GLOBULE
Ben ca devient un .htm vide....
Vu que le fichier php ne genere aucun code html.

Donc pas d'inquietude à avoir de ce cote.
glasyeur
le 26/08/2003 à 01:20
glasyeur
si on n'a pas a etre inquiet alors pourquoi on a creer le .htacces
lut tlm
LA GLOBULE
le 26/08/2003 à 01:23
LA GLOBULE
Parce que si le mec accede à ton fichier de configuration via son navigateur WEB, ben il va tomber sur une page blanche.

Et bon, c'est moyen...
Michel_57
le 26/08/2003 à 06:50
Michel_57
Mais moi ma page en PHP qui se connecte a la BDD, elle est bien sur le site, et elle contient le login et le mot de passe de ma BDD.
Cette page en PHP peut etre uploadée non ?
Et ensuite le hacker peut éditer avec le bloc notes et voila !
Je me trompes ?

Et le fait de mettre ca dans un répertoire ne change rien à mon avis, le répertoire s'upload aussi ...

"htaccess" ??? hum ...
Merci LEPHPFACILE et tous ses membres :)
Carssou
le 26/08/2003 à 09:49
Carssou
non essayes tu vas voir fait sous IE Affichage/Source, tu ne verras que le code html, pas de code php si il dl ta page il ne téléchargeras que la version "html" sauf si il passe par ton ftp, mais là tu n'y peu absolument rien...
Répondre
LoadingChargement en cours