comment securirisé une BD?

Mon problème est simple , j'ai une une page php qui utilise une autre page php avec un include et celle la en utilise une autre avec un include d'une page php qui elle contient toutes les informations pour se connecter à la base de donnée. Est ce securisé ? Pour verifié ceci, j'ai fais une petite recherche sur le net.. rien trouvé ! Alors j'attend vos réponses, si vous trouvé merci de me dire comment améliorer la secrurité !!! Lionceau,

Tu peux paramètrer MySQL pour ne répondre qu'à ton serveur Web par restriction d'IP. A partir de là, cela me semble être bien sécurisé. A quoi penses tu comme 'menace' ??
S.

Moi j'ai peur qu'il accede à connexionLogin.php et lise les infos secretes



Pour y voir plus clair je te montre le source regarde :

dans ma page :  connexionLogin.php
$hostname_connexionLogin = "ddddddd";                 //adresse de la base de donnée
$username_connexionLogin = "ccccccccc";                         //nom d'utilisateur
$password_connexionLogin = "bbbbbbbbbb";                       //mot de passe de l'utilisateur
$database_connexionLogin = "aaaaaaa";                         //nom de la base de donnée

dans ma page : gererclient.php
require_once('connexionLogin.php');

if(!mysql_connect($hostname_connexionLogin, $username_connexionLogin, $password_connexionLogin))
{
 //echo "Impossible de se connecter à la base de données : " . mysql_error();
  echo "vous vous étes deconnecteé ou avez quitté la page donc merci de vous reconnecter(vous rerentrez mot de passe et login)  et si vous rencontrez un problème merci de contacter Gael Mathis";
 exit;
}

if (!mysql_select_db($database_connexionLogin)) {
 //  echo "Impossible de sélectionner la base ".$database_connexionLogin." : " . mysql_error();
 echo "vous vous étes deconnecteé ou avez quitté la page donc merci de vous reconnecter(vous rerentrez mot de passe et login)  et si vous rencontrez un problème merci de contacter Gael Mathis";
 
   exit;
}




Lionceau,

En tout cas s'il passe par le serveur Web.. donc Apache ou autre.. le serveur va retranscrire la page PHP en HTML donc rien de lisible.
De plus, il faudrait aussi connaitre le nom du fichier et l'emplacement.. De plus, si vraiment tu as peur, tu peux soit:
- sortir le répertoire de la racine web du site (PHP peut y accéder encore)
- protéger le répertoire via un .htaccess sous Apache.
Ca te convient ? si oui, n'hesite pas à cocher Réponse Acceptée pour aider tout le monde.
S.

Je suis pas sur que ca me conviens car : "htttrack" et "web site riper copier" et "intellitamper" sont 3 sortes d'aspirateurs de site,

Et theoriquement avec un aspiraeur (de site) on peut prendre tous les fichiers du serveur ..

Donc c 'est d'ici que part mon inquietude.. j'ai pas envie qu'on télécharge mon fichier avec le password..

Qu'en penses tu ?

Lionceau,

Non, car un aspirateur passe par le serveur Web, en cherchant tous les liens présents dans une page. Donc on reste sur des pages HTML.
S.

Bonjour,

Avec un snifer reseau genre wireshark, est ce possible?


Lionceau,

Oui, mais il faudrait etre sur le meme réseau que ton serveur et ta base de données.
Si c'est sur le meme PC, mets en IP du serveur de BDD 127.0.0.1 comme ca ca passe par la boucle locale, et faudrait que le wireshark soit sur le meme PC pour voir quelque chose.

--
Développeur web freelance - Bling182 Dev : http://www.bling182.fr - http://freelancedev.ovh.org

Salut,

Comme dit plus tu n'as pas a craindre que l'utilisateur récupère ton code php par un aspirateur de site ou tout autre truc du genre, ceci relève de la configuration du serveur, chose qui n'a rien a voir avec ton code.

S'il y a une chose que tu dois craindre vraiment, ce sont les injections de SQL et autres détournements de ton code. Ce type d'attaque est très répandu et simplissime a mettre en oeuvre si le développeur n'as pas pris de précaution. Pour plus d'informations, je te renvoie sur le documentation PHP ainsi qu'au posts de ce sujet où j'ai mis un exemple d'une injection assez marante.

J'espère qu'avec tous ces avis tu es un peu rassuré non ??
S.