Ne puisse pas accéder au mot de passe des formulaires ou dans le
vince6629
Messages postés
73
Date d'inscription
Statut
Membre
Dernière intervention
-
ElementW Messages postés 4814 Date d'inscription Statut Contributeur Dernière intervention -
ElementW Messages postés 4814 Date d'inscription Statut Contributeur Dernière intervention -
Bonjour,
Je me pose la question de savoir comment il est préférable de faire pour créer un application php accessible sur le net hébergé sur un serveur de façon à ce que les individus mal intentionné ne puisse pas accéder au mot de passe des formulaires ou dans le code php ?
Cdt
Je me pose la question de savoir comment il est préférable de faire pour créer un application php accessible sur le net hébergé sur un serveur de façon à ce que les individus mal intentionné ne puisse pas accéder au mot de passe des formulaires ou dans le code php ?
Cdt
A voir également:
- Ne puisse pas accéder au mot de passe des formulaires ou dans le
- Trousseau mot de passe iphone - Guide
- Mot de passe - Guide
- Mot de passe administrateur - Guide
- Mot de passe bios perdu - Guide
- Comment trouver le mot de passe wifi sur son téléphone - Guide
2 réponses
'lut. Heu, c'est à dire?
Le code PHP est censé traiter les données du formulaire et vérifier la validité du login et mot de passe mais jamais ces 2 valeurs ne sont écrites en clair dans le script, ou même en clair n'importe où que ce soit pour le mot de passe.
Le code PHP n'est pas censé être lisible par l'extérieur, seul le serveur le connait et l'exécute. Si on peut le lire d'une manière ou d'une autre, c'est qu'il y a une faille dans ta config ou tes scripts qui permet de virtuellement lire tous les fichiers que le serveur web (Apache, nginx, lighttpd, ...) peut lire.
Quant aux mots de passe, ils doivent être stockés sous forme hashée, donc pas réversible (attention certains algos comme MD5 et SHA1 ont montrés leur faiblesses face aux collisions, préférer SHA256 minimum). Pour ce qui est du transit du mot de passe entre client et serveur, il est possible d'intercepter le mot de passe en faisant une attaque MITM, le seul moyen d'en échapper étant d'utiliser HTTPS, donc de se procurer un certificat SSL (souvent pas gratuit) et de le configurer sur le serveur, ce que ton hébergeur ne te laissera pas faire si c'est un hébergeur gratuit.
Le code PHP est censé traiter les données du formulaire et vérifier la validité du login et mot de passe mais jamais ces 2 valeurs ne sont écrites en clair dans le script, ou même en clair n'importe où que ce soit pour le mot de passe.
Le code PHP n'est pas censé être lisible par l'extérieur, seul le serveur le connait et l'exécute. Si on peut le lire d'une manière ou d'une autre, c'est qu'il y a une faille dans ta config ou tes scripts qui permet de virtuellement lire tous les fichiers que le serveur web (Apache, nginx, lighttpd, ...) peut lire.
Quant aux mots de passe, ils doivent être stockés sous forme hashée, donc pas réversible (attention certains algos comme MD5 et SHA1 ont montrés leur faiblesses face aux collisions, préférer SHA256 minimum). Pour ce qui est du transit du mot de passe entre client et serveur, il est possible d'intercepter le mot de passe en faisant une attaque MITM, le seul moyen d'en échapper étant d'utiliser HTTPS, donc de se procurer un certificat SSL (souvent pas gratuit) et de le configurer sur le serveur, ce que ton hébergeur ne te laissera pas faire si c'est un hébergeur gratuit.