Singleton de connexion BD et sécurité Fermé

Question

Bonjour, 

J'ai récemment créé un site en PHP.
La plupart des pages affichant des données récupérées de la base de données, un singleton de connexion est "includé" dans le fichier PHP.

Ce singleton contient le login et le mot de passe en clair et est stocké à même la racine du site, /singletonConnexion.php


Ceci peut-il représenter un problème de sécurité ? Etant donné que tout le code PHP est interprété avant d'être envoyé ailleurs, je dirais non, mais ... je préférerais être sûr :)


Merci d'avance :)

Nxl · Answer

Salut, 
le mieux serrait quand même de hasher le mot de passe.

Guillaume2616 · Answer

up

Guillaume2616 · Answer

up up ... aucun autre avis ?

Guillaume2616 · Answer

up

Nxl · Answer

Tu as vus mon message ?

Guillaume2616 · Answer

Salut Antonin, oui, j'ai bien vu ton message mais je ne pense pas que hasher le mot de passe dans le fichier apporte une sécurité supplémentaire, car il pourra quand même se connecter avec ce hash.

Nxl · Answer

Salut,
Non car s'il entre le Hash dans le champ mot de passe le Hash entré serra ré-hasher et donc il ne correspondra pas au hash de vérification.

Guillaume2616 · Answer

Ce que je voulais dire c'est qu'il pourra toujours se connecter à la BD en utilisant la fonction mysql_connect() avec les champs dans le fichier (adresse de la BD, nom d'utilisateur et mdp hashé)

Nxl · Answer

Euh, en fait, j'avais mal lu ta question... Le PHP est en effet compilé donc tous les visiteurs quels qu'ils soient (même Google) n'ont accès qu'au code HTML généré, jamais à ton code source.

Guillaume2616 · Answer

Yep, c'est ce que je pense aussi, mais laisser ce fichier à la racine paraît trop simple, je me dis qu'il doit y avoir quelque chose pour améliorer ça/davantage sécuriser le fichier...

Nxl · Answer

Non... 
Après il faudrait qu'on te hack ton FTP... Mais après on peut tout imaginer.

Singleton de connexion BD et sécurité

11 réponses

Discussions similaires