J'ai mis sur un site un sytème qui fait appel à une base de données.
J'ai donc un document qui contient la connexion à cette base avec tout les codes...
Je voudrais savoir si et comment il est possible de protéger ces codes des "petits fouineurs"...
Version complète: sur le forum Webmaster Hub : Protéger codes de connexion
Webmaster Hub > Création et exploitation de Sites Internet > Les langages du Net > Scripts et utilitaires
Bonjour,
J'ai mis sur un site un sytème qui fait appel à une base de données.
J'ai donc un document qui contient la connexion à cette base avec tout les codes...
Je voudrais savoir si et comment il est possible de protéger ces codes des "petits fouineurs"...
J'ai mis sur un site un sytème qui fait appel à une base de données.
J'ai donc un document qui contient la connexion à cette base avec tout les codes...
Je voudrais savoir si et comment il est possible de protéger ces codes des "petits fouineurs"...
Dans la page qui fait appel à ce script (la page index.php, par exemple), tu mets une variable aléatoire, qui ne veut rien dire. Et dans la page de configuration, tu demandes cette variable.
Ainsi :
Dans 'index.php', tu mets :
et dans 'config.php', tu mets :
Ca tient sur une ligne, et tu peux le mettre dans tous tes include
A.
Ainsi :
Dans 'index.php', tu mets :
CODE
$machin_truc_chose_qui_nous_complique_la_vie="sjdfhskjfhskjhfskjoirazox";
et dans 'config.php', tu mets :
CODE
if (! $machin_truc_chose_qui_nous_complique_la_vie==="sjdfhskjfhskjhfskjoirazox") die("accès interdit");
Ca tient sur une ligne, et tu peux le mettre dans tous tes include
A.
Et si ta page où se trouve tes codes de connexions, tu la mettais dans un répertoire et que tu crées un fichier .htaccess dont le contenu serait :
CODE
Deny from All
Anonymus: C'est déjà une partie administrée par un mot de passe...
petit-ourson: Ces codes sont sur une page qui est amenée à être vue dans la partie admin...
petit-ourson: Ces codes sont sur une page qui est amenée à être vue dans la partie admin...
Pour lire la page via ta partie admin tu utilises des fonctions php (ex: file_get_contents) pour la lire. Ca devrait pas poser de problème.
Il ne faut pas non plus tomber dans la paranoïa, ce fichier n'est normalement pas accessible de l'extérieur.
Si en plus tu y places une variable ,comme indiqué ci dessus, et si en plus tu n'y mets pas de 'echo', qui redirigera quelque chose vers l'extérieur, alors tu n'as aucun soucis à te faire.
Par contre, si quelqu'un arrive à accéder à ce fichier, c'est qu'il y a un autre problème que le php. En effet, celui ci s'exécute coté serveur, et il est en théorie impossible à quiconque de l'extérieur d'accéder aux sources d'un fichier. A moins de s'attaquer au serveur directement. Mais là, c'est un autre problème que la simple protection d'un script php.
Voilà, tu peux dormir tranquille
(ou débrancher ton pc, au choix
)
Si en plus tu y places une variable ,comme indiqué ci dessus, et si en plus tu n'y mets pas de 'echo', qui redirigera quelque chose vers l'extérieur, alors tu n'as aucun soucis à te faire.
Par contre, si quelqu'un arrive à accéder à ce fichier, c'est qu'il y a un autre problème que le php. En effet, celui ci s'exécute coté serveur, et il est en théorie impossible à quiconque de l'extérieur d'accéder aux sources d'un fichier. A moins de s'attaquer au serveur directement. Mais là, c'est un autre problème que la simple protection d'un script php.
Voilà, tu peux dormir tranquille
(ou débrancher ton pc, au choix
)
CITATION(Anonymus @ 07 Oct 2004, 15:08)
[...]
Voilà, tu peux dormir tranquille
(ou débrancher ton pc, au choix )
Voilà, tu peux dormir tranquille
(ou débrancher ton pc, au choix
)Ou les deux à la fois même, dormir tranquille et débracher le pc ;o)
Merci!
J'ai pas tout compris,
mais vous avez raison: il ne faut pas être parano... 
C'est jamais que quelques dates dans ma base de données, et leur perte ne causerai sûrement aucun désastre...
J'ai pas tout compris,
mais vous avez raison: il ne faut pas être parano... C'est jamais que quelques dates dans ma base de données, et leur perte ne causerai sûrement aucun désastre...
Gribouille26,
Une chose à garder à l'esprit quand on utilise des fichiers de paramètres en php: s'assurer qu'ils ont bien une extension en .php !!
J'ai vu de nombreux développeurs utiliser des noms tels que fichier.php.inc pour bien visualiser qu'ils sont destinés à faire un "include".
Il faut dans ce cas plutôt les nommer fichier.inc.php (inverser les extensions) pour qu'ils soient protégés par Apache (les .inc ne sont pas protégés alors que les .php le sont)
Dan
Une chose à garder à l'esprit quand on utilise des fichiers de paramètres en php: s'assurer qu'ils ont bien une extension en .php !!
J'ai vu de nombreux développeurs utiliser des noms tels que fichier.php.inc pour bien visualiser qu'ils sont destinés à faire un "include".
Il faut dans ce cas plutôt les nommer fichier.inc.php (inverser les extensions) pour qu'ils soient protégés par Apache (les .inc ne sont pas protégés alors que les .php le sont)
Dan
Y'a pas de pb! J'aurai même pas eut l'idée d'appeller un fichier .inc... 
Mais merci de la précision! :up:
J'aurrai put en avoir l'idée par la suite....
Mais merci de la précision! :up:
J'aurrai put en avoir l'idée par la suite....
Ceci est une version "bas débit" de notre forum. Pour voir la version complète avec plus d'information, la mise en page et les images, veuillez cliquer ici.