|
Voir le sujet précédent :: Voir le sujet suivant
|
| Auteur |
Message |
| |
|
franck05
WRInaute occasionnel
Inscrit le: 30 Nov 2003
Messages: 108
|
 Posté le : Mer Juin 28, 2006 16:28 Sujet du message: Mot de passe en clair dans mysql_connect() |
|
|
Bonjour,
Afin de sécuriser mes connections avec ma base de données je voudrais savoir si il est possible de ne pas écrire en clair mon de passe de base de données dans la commande mysql_connect($host, $user,$passwd)
dans mes fichiers ? ou alors avec une ruse de siou ?
D'avance merci pour votre aide |
|
| |
|
 |
dd32
Modérateur
Inscrit le: 09 Sep 2005
Messages: 3101
Localisation: Witamine d'abord !
|
| Posté le : Mer Juin 28, 2006 17:04 Sujet du message: Mot de passe en clair dans mysql_connect() |
|
|
http://www.commentcamarche.net/php/phpbdd.php3
| Citation: |
| Rappel: Les variables ne sont pas visibles par vos visiteurs étant donné que le script (portant l'extension .php) est systématiquement interprété par le serveur Web |
enfin, y'a peut-être une astuce...mais c'est plutôt ce qu'il y a autour qu'il faudrait contrôler :
http://www.phpsecure.info/v2/article/php-security.php
pour éviter d'arriver à ce genre de chose :
| Citation: |
<?
copy("page.php","page_source.txt");
?>
Il suffit maintenant à l'attaquant de consulter le fichier page_source.txt pour récupérer vos mots de passe d'administration de MySQL. |
voir le reste de la commande sur le lien cité ci-dessus... |
|
| |
|
|
Xou
WRInaute occasionnel
Inscrit le: 02 Juin 2006
Messages: 187
Localisation: Tours, France
|
| Posté le : Mer Juin 28, 2006 18:08 Sujet du message: Mot de passe en clair dans mysql_connect() |
|
|
Bonjour,
il suffit de crypter tes mots de passe en MD5 !  |
|
| |
|
|
dd32
Modérateur
Inscrit le: 09 Sep 2005
Messages: 3101
Localisation: Witamine d'abord !
|
| Posté le : Mer Juin 28, 2006 18:47 Sujet du message: Mot de passe en clair dans mysql_connect() |
|
|
oui mais dans ce cas, tu copies le mot de passe (qui aura été crypté en md5 au préalable en dehors du code) en dur dans ton code sachant ceci :
http://www.npds.org/viewtopic.php?topic=14039&forum=12 ? certes c'est plus secure mais bon discutable.
Dernière édition par dd32 le Mer Juin 28, 2006 18:49; édité 1 fois |
|
| |
|
|
franck05
WRInaute occasionnel
Inscrit le: 30 Nov 2003
Messages: 108
|
| Posté le : Mer Juin 28, 2006 18:49 Sujet du message: Mot de passe en clair dans mysql_connect() |
|
|
merci pour vos réponse 
en fait c'est pas pour protéger des visiteurs mais des développeurs (cf. loi Sarbanes & Oxley)
le md5 je sais pas si ça fonctionne car dans mysql les mots de passe sont chiffrés avec une fonction qui est PASSWORD...
quelques tests s'imposent, mais bon c'est pas gagné  |
|
| |
|
|
dd32
Modérateur
Inscrit le: 09 Sep 2005
Messages: 3101
Localisation: Witamine d'abord !
|
| Posté le : Mer Juin 28, 2006 18:51 Sujet du message: Mot de passe en clair dans mysql_connect() |
|
|
Avec mysql y'a la fonction MD5() aussi... mais là n'est pas la question car il s'agit du mot de passe de la bdd, pas d'un mot de passe utilisateur... ou j'ai rien compris ??
Comment tu fais pour comparer avec la bdd si le mot de passe de connexion à la bdd est ok sans être au préalable connecté à cette même bdd pour récupérer le bon mot de passe ? :p |
|
| |
|
|
Grantome
WRInaute accro
Inscrit le: 16 Jan 2004
Messages: 2900
|
| Posté le : Mer Juin 28, 2006 19:02 Sujet du message: Mot de passe en clair dans mysql_connect() |
|
|
Tu le met en clair dans un fichier conf.php, lui même dans un répertoire data. dans .htacess, tu met deny from all.
Ainsi, suel une page du domaine peut appeler le fichier. et il est invisible pour tout le monde. |
|
| |
|
|
Robinson
WRInaute accro
Inscrit le: 25 Oct 2005
Messages: 1436
|
| Posté le : Mer Juin 28, 2006 19:52 Sujet du message: Mot de passe en clair dans mysql_connect() |
|
|
Ce n'est pas ce qu'il demande.
Mais je ne pense pas que cela est possible mis à part modifier et recompiler php pour que la fonction mysql_connect connaisse elle-même le code.
Mais le problème sera le même. Le mot de passe est inutile dès que l'on a la possibilité d'utiliser des requetes sur la base. |
|
| |
|
|
Zim'
WRInaute passionné
Inscrit le: 27 Avr 2006
Messages: 804
Localisation: Euh... chez moi nulle part pour l'instant :-(
|
| Posté le : Mer Juin 28, 2006 19:55 Sujet du message: Mot de passe en clair dans mysql_connect() |
|
|
| dd32 a écrit: |
Avec mysql y'a la fonction MD5() aussi... mais là n'est pas la question car il s'agit du mot de passe de la bdd, pas d'un mot de passe utilisateur... ou j'ai rien compris ??
Comment tu fais pour comparer avec la bdd si le mot de passe de connexion à la bdd est ok sans être au préalable connecté à cette même bdd pour récupérer le bon mot de passe ? :p |
C'est simple, tu hash ton mot de pass mysql en md5(), puis tu créer un script php pour le "casser", puis ensuite tu te connecte à mysql
Ralala, que vous etes betes  |
|
| |
|
|
dd32
Modérateur
Inscrit le: 09 Sep 2005
Messages: 3101
Localisation: Witamine d'abord !
|
| Posté le : Mer Juin 28, 2006 20:37 Sujet du message: Mot de passe en clair dans mysql_connect() |
|
|
| Zim' a écrit: |
C'est simple, tu hash ton mot de pass mysql en md5(), puis tu créer un script php pour le "casser", puis ensuite tu te connecte à mysql
Ralala, que vous etes betes |
Certes, bête je suis  mais je n'en voyais pas l'intérêt car j'avais zappé cette ligne :
| franck05 a écrit: |
| en fait c'est pas pour protéger des visiteurs mais des développeurs |
maintenant je comprends mieux... |
|
| |
|
|
Zim'
WRInaute passionné
Inscrit le: 27 Avr 2006
Messages: 804
Localisation: Euh... chez moi nulle part pour l'instant :-(
|
| Posté le : Mer Juin 28, 2006 22:10 Sujet du message: Mot de passe en clair dans mysql_connect() |
|
|
Moi je dis, vous hackez le serveur de la NSA pour crypter votre CS et le contenu de votre base de donnée, que vous encryptez ensuite avec un algo à vous, et vous diffusez le tout en morse via un flux mp3 en streaming...
dsl... mais le topic me parait tellement inutile... |
|
| |
|
|
sebnutt
WRInaute accro
Inscrit le: 10 Déc 2003
Messages: 1308
|
| Posté le : Mer Juin 28, 2006 22:57 Sujet du message: Mot de passe en clair dans mysql_connect() |
|
|
| Grantome a écrit: |
Tu le met en clair dans un fichier conf.php, lui même dans un répertoire data. dans .htacess, tu met deny from all.
Ainsi, suel une page du domaine peut appeler le fichier. et il est invisible pour tout le monde. |
ou encore un fichier .htconf auquel seul a accès le root et personne via le web... |
|
| |
|
|
franck05
WRInaute occasionnel
Inscrit le: 30 Nov 2003
Messages: 108
|
| Posté le : Ven Juin 30, 2006 9:20 Sujet du message: Mot de passe en clair dans mysql_connect() |
|
|
| Citation: |
Moi je dis, vous hackez le serveur de la NSA pour crypter votre CS et le contenu de votre base de donnée, que vous encryptez ensuite avec un algo à vous, et vous diffusez le tout en morse via un flux mp3 en streaming...
dsl... mais le topic me parait tellement inutile... |
oui toi aussi tu m'as l'air assez inutile 
sais tu au moins ce qu'est Sarbanes et Oxley, et as tu réellement compris la problématique ? si c'est non, vas jouer aux billes |
|
| |
|
|
Zim'
WRInaute passionné
Inscrit le: 27 Avr 2006
Messages: 804
Localisation: Euh... chez moi nulle part pour l'instant :-(
|
| Posté le : Ven Juin 30, 2006 17:50 Sujet du message: Mot de passe en clair dans mysql_connect() |
|
|
non je sais pas ce qu'est sarbanes et oxley, mais oui j'ai bien compris la problématique... et j'vois surtout un probleme la ou il n'yen a pas vraiment...
Sinon, dis moi ce qu'est sarbanes et oxley, j'me coucherai moins con... ou alors j'vais jouer aux billes. |
|
| |
|
|
franck05
WRInaute occasionnel
Inscrit le: 30 Nov 2003
Messages: 108
|
| Posté le : Ven Juin 30, 2006 18:06 Sujet du message: Mot de passe en clair dans mysql_connect() |
|
|
| justement pour comprendre la problématique faudrait peut etre savoir ce qu'est SARBOX, pour savoir : google est ton amis |
|
| |
|
|
| |
|
|
