MySQL et la sécurité

unlu · 6 Juin 2005

Est il possible de pouvoir lire un fichier php du serveur sur un poste client afin de pouvoir dérober les mots de passe de la base MySQL?

shrom · 6 Juin 2005

Deux choses à vérifier:
- la configuration du serveur web
- le code source de l'application

Une bonne pratique est déjà de mettre les fichiers de configuration contenant des mots de passe dans un répertoire qui n'est pas accessible via une URL, à défaut, les mettre dans un répertoire protégé.

cedfr · 6 Juin 2005

On ne peut pas, logiquement, lire un fichier php directement.
Mais, on est jamais sur de nos jours :roll:

julio38 · 6 Juin 2005

Le truc a évité en priorité c'est d'avoir une page qui affiche les identifiants (ou une partir) lorsque la base plante !

c'est assez courant - pour s'en rendre compte il suffit de taper sur gg le message d'une erreur sql
ex : Warning: MySQL Connection Failed

mowmow · 6 Juin 2005

unlu a dit:
Est il possible de pouvoir lire un fichier php du serveur sur un poste client afin de pouvoir dérober les mots de passe de la base MySQL?

Pour ma part je les garde en cryptés, et je décrypte à chaque fois, avec mon algo trafiqué ^^ Plus lent, mais on sait jamais

shrom · 6 Juin 2005

mowmow a dit:
Pour ma part je les garde en cryptés, et je décrypte à chaque fois, avec mon algo trafiqué ^^ Plus lent, mais on sait jamais

Si un hacker arrive à récupérer le contenu de ton fichier de conf avec ton login et ton mot de passe, il réussira aussi à récupérer le fichier ou tu met ton *algo trafiqué*

cedfr · 6 Juin 2005

shrom a dit:
Si un hacker arrive à récupérer le contenu de ton fichier de conf avec ton login et ton mot de passe, il réussira aussi à récupérer le fichier ou tu met ton *algo trafiqué*

Un hackeur peut tout faire (enfin presque). Espérons que son algo est bien protégé :wink:

mowmow · 6 Juin 2005

shrom a dit:
mowmow a dit:

Pour ma part je les garde en cryptés, et je décrypte à chaque fois, avec mon algo trafiqué ^^ Plus lent, mais on sait jamais

Cliquez pour agrandir...

Si un hacker arrive à récupérer le contenu de ton fichier de conf avec ton login et ton mot de passe, il réussira aussi à récupérer le fichier ou tu met ton *algo trafiqué*

Si le hacker en question réussi à mettre la main sur le code source php, non seulement tout mon site est mort, et c'est même pas dans le dossier www qu'on trouve tout ca

Et puis je peux le donner mon algo, d'ailleurs c'est un algo public que j'ai modifié

Mais faut trouver la clé ..

shrom · 6 Juin 2005

mowmow a dit:
Si le hacker en question réussi à mettre la main sur le code source php, non seulement tout mon site est mort, et c'est même pas dans le dossier www qu'on trouve tout ca
Et puis je peux le donner mon algo, d'ailleurs c'est un algo public que j'ai modifié Mais faut trouver la clé ..

Que ce soit dans un dossier accessible via une URL ou non, si le répertoire est lisible par le serveur web et que le hacker a récupérer le login et le mdp, il récupèrera aussi ta clé.

mowmow · 6 Juin 2005

Oui mais là on parle de lire un fichier php à partir du navigateur