Singleton de connexion BD et sécurité
Guillaume2616
-
Nxl Messages postés 1257 Statut Membre -
Nxl Messages postés 1257 Statut Membre -
Bonjour,
J'ai récemment créé un site en PHP.
La plupart des pages affichant des données récupérées de la base de données, un singleton de connexion est "includé" dans le fichier PHP.
Ce singleton contient le login et le mot de passe en clair et est stocké à même la racine du site, /singletonConnexion.php
Ceci peut-il représenter un problème de sécurité ? Etant donné que tout le code PHP est interprété avant d'être envoyé ailleurs, je dirais non, mais ... je préférerais être sûr :)
Merci d'avance :)
J'ai récemment créé un site en PHP.
La plupart des pages affichant des données récupérées de la base de données, un singleton de connexion est "includé" dans le fichier PHP.
Ce singleton contient le login et le mot de passe en clair et est stocké à même la racine du site, /singletonConnexion.php
Ceci peut-il représenter un problème de sécurité ? Etant donné que tout le code PHP est interprété avant d'être envoyé ailleurs, je dirais non, mais ... je préférerais être sûr :)
Merci d'avance :)
11 réponses
-
Salut,
le mieux serrait quand même de hasher le mot de passe. -
-
-
-
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question -
-
Salut Antonin, oui, j'ai bien vu ton message mais je ne pense pas que hasher le mot de passe dans le fichier apporte une sécurité supplémentaire, car il pourra quand même se connecter avec ce hash.
-
Salut,
Non car s'il entre le Hash dans le champ mot de passe le Hash entré serra ré-hasher et donc il ne correspondra pas au hash de vérification. -
Ce que je voulais dire c'est qu'il pourra toujours se connecter à la BD en utilisant la fonction mysql_connect() avec les champs dans le fichier (adresse de la BD, nom d'utilisateur et mdp hashé)
-
Euh, en fait, j'avais mal lu ta question... Le PHP est en effet compilé donc tous les visiteurs quels qu'ils soient (même Google) n'ont accès qu'au code HTML généré, jamais à ton code source.
-
Yep, c'est ce que je pense aussi, mais laisser ce fichier à la racine paraît trop simple, je me dis qu'il doit y avoir quelque chose pour améliorer ça/davantage sécuriser le fichier...
-
Non...
Après il faudrait qu'on te hack ton FTP... Mais après on peut tout imaginer.