Mysql_connect() php
Fermé
Bonjour,
j'ai créé mon site web en PHP, il me reste plus que l'héberger, mais une question m'angoisse, c'est que si je mets les mot de passe et username donné par l'hébergeur de ma base de données direct dans la fonction mysql_connect("server","username","password") il sera possible que tout personne pouvant accéder à mon fichier php de les lire facilement, y a t-il un moyen de les caché ou rendre leurs lisibilité difficile???
merci d'avance.
j'ai créé mon site web en PHP, il me reste plus que l'héberger, mais une question m'angoisse, c'est que si je mets les mot de passe et username donné par l'hébergeur de ma base de données direct dans la fonction mysql_connect("server","username","password") il sera possible que tout personne pouvant accéder à mon fichier php de les lire facilement, y a t-il un moyen de les caché ou rendre leurs lisibilité difficile???
merci d'avance.
A voir également:
- Mysql_connect() php
- Easy php - Télécharger - Divers Web & Internet
- Expert php pinterest - Télécharger - Langages
- Php?id=1 - Forum PHP
- Retour à la ligne php ✓ - Forum PHP
- Php natif - Forum PHP
2 réponses
Utilisateur anonyme
2 juil. 2011 à 19:20
2 juil. 2011 à 19:20
Ton fichier php est visible uniquement pour ceux qui ont accès à ton FTP.
Bonjour
Le mieux est de mettre la partie qui contient tes identifiants dans un autre fichier et de faire un include de ce fichier.
Il faut que ce fichier soit dans un répertoire qui ne soit pas accessible par HTTP. Souvent, les hébergeurs te fournissent une partie 'www' pour le site et une autre, inaccessible, où tu pourrais mettre ce fichier
Sinon, tu crées toi-même un dossier inaccessible en mettant dedans un fichier .htaccess qui contient simplement la ligne:
deny from all
Le mieux est de mettre la partie qui contient tes identifiants dans un autre fichier et de faire un include de ce fichier.
Il faut que ce fichier soit dans un répertoire qui ne soit pas accessible par HTTP. Souvent, les hébergeurs te fournissent une partie 'www' pour le site et une autre, inaccessible, où tu pourrais mettre ce fichier
Sinon, tu crées toi-même un dossier inaccessible en mettant dedans un fichier .htaccess qui contient simplement la ligne:
deny from all
Cuffson
Messages postés
921
Date d'inscription
mercredi 25 mars 2009
Statut
Membre
Dernière intervention
11 octobre 2011
57
3 juil. 2011 à 16:13
3 juil. 2011 à 16:13
Bonjour,
Même si le sujet est un peu vieux j'apporte mon aide.
Techniquement cette méthode risque de poser quelques problèmes dans la mesure ou l'accès au dossier se fait après avoir rentré un identifiant et un mot de passe.
De plus, les fichiers PHP ne peuvent être téléchargés que si la personne à un accès à ton FTP chose que ton hébergeur s'il est un minimum sérieux à suffisamment protégé.
Même si le sujet est un peu vieux j'apporte mon aide.
Techniquement cette méthode risque de poser quelques problèmes dans la mesure ou l'accès au dossier se fait après avoir rentré un identifiant et un mot de passe.
De plus, les fichiers PHP ne peuvent être téléchargés que si la personne à un accès à ton FTP chose que ton hébergeur s'il est un minimum sérieux à suffisamment protégé.
Bonjour,
Le sujet ne date que d'hier. Si ça c'est vieux, j'ai dépassé le stade du fossile ^^
Merci d'apporter ton aide, mais tu te trompes.
Techniquement cette méthode risque de poser quelques problèmes dans la mesure ou l'accès au dossier se fait après avoir rentré un identifiant et un mot de passe.
Tu ne sembles pas faire la différence entre un accès par HTTP et un accès par include. Le fichier .htaccess agit sur les accès http mais pas sur les fichier inclus. Donc aucun mot de passe à taper pour le fichier inclus (s'il n'y en avait pas pour le fichier principal)
les fichiers PHP ne peuvent être téléchargés que si la personne à un accès à ton FTP
Comme je le disais plus haut à maxime71500, ça c'est la théorie. Les fichiers php sont supposés passer par l'interpréteur PHP avant d'être envoyés à l'internaute, mais j'ai déjà vu le cas où le source apparaissait en clair. Un simple rafraîchissement a fait disparaître le problème, mais il est clair que l'hébergeur a eu momentanément une défaillance.
Comme je le disais également plus haut à maxime71500, je l'ai vu aussi, il arrive que suite à une modif, on remette en ligne un script avec une erreur qui rend le PHP visible.
Et il y a encore le cas, vu plusieurs fois sur ce forum, ou on poste un bout de code pour demander de l'aide. Et on oublie (surtout les débutants) de masquer les identifiants.
Le sujet ne date que d'hier. Si ça c'est vieux, j'ai dépassé le stade du fossile ^^
Merci d'apporter ton aide, mais tu te trompes.
Techniquement cette méthode risque de poser quelques problèmes dans la mesure ou l'accès au dossier se fait après avoir rentré un identifiant et un mot de passe.
Tu ne sembles pas faire la différence entre un accès par HTTP et un accès par include. Le fichier .htaccess agit sur les accès http mais pas sur les fichier inclus. Donc aucun mot de passe à taper pour le fichier inclus (s'il n'y en avait pas pour le fichier principal)
les fichiers PHP ne peuvent être téléchargés que si la personne à un accès à ton FTP
Comme je le disais plus haut à maxime71500, ça c'est la théorie. Les fichiers php sont supposés passer par l'interpréteur PHP avant d'être envoyés à l'internaute, mais j'ai déjà vu le cas où le source apparaissait en clair. Un simple rafraîchissement a fait disparaître le problème, mais il est clair que l'hébergeur a eu momentanément une défaillance.
Comme je le disais également plus haut à maxime71500, je l'ai vu aussi, il arrive que suite à une modif, on remette en ligne un script avec une erreur qui rend le PHP visible.
Et il y a encore le cas, vu plusieurs fois sur ce forum, ou on poste un bout de code pour demander de l'aide. Et on oublie (surtout les débutants) de masquer les identifiants.
Cuffson
Messages postés
921
Date d'inscription
mercredi 25 mars 2009
Statut
Membre
Dernière intervention
11 octobre 2011
57
Modifié par Thom04 le 3/07/2011 à 17:05
Modifié par Thom04 le 3/07/2011 à 17:05
Je suis d'accord que le risque zéro n'existe pas mais je ne pense pas que son site internet est un site contenant des informations ultras sensibles. Si c'est un site personnel tu peux écrire tes identifiants directement. Si toutefois tu veux empêcher la lecture de ton MDP et de ton identifiant en cas d'erreur tu peux appliquer le code suivant :
Apres tu crée un fichier .htaccess expliqué comme précédemment pour interdire l'accès aux utilisateurs et uniquement le donner au serveur.
<?php
try
{
$pdo_options[PDO::ATTR_ERRMODE] = PDO::ERRMODE_EXCEPTION;
$bdd = new PDO('mysql:host=localhost;dbname=test', 'root', '', $pdo_options);
}
catch (Exception $e)
{
die('Erreur : ' . $e->getMessage());
}
?>
Apres tu crée un fichier .htaccess expliqué comme précédemment pour interdire l'accès aux utilisateurs et uniquement le donner au serveur.
2 juil. 2011 à 19:26
Ça c'est la théorie... s'il y a un problème chez l'hébergeur, on peut voir du source PHP , ça m'est arrivé. Sans parler des éventuels bugs qu'on peut commettre lors des modifs testées trop rapidement