Sécurisation accès BDD
lecab
Messages postés
16
Date d'inscription
Statut
Membre
Dernière intervention
-
Brachior Messages postés 613 Date d'inscription Statut Membre Dernière intervention -
Brachior Messages postés 613 Date d'inscription Statut Membre Dernière intervention -
Bonjour,
Je voudrais sécuriser l'accès à ma base de données chez Free.
Mon programme principal accède à la BDD en appelant un fichier conn.php qui contient les infos nécessaires à la connexion (Login, MDP, etc).
Après avoir beaucoup tourné en rond,
1. il faudrait que je mette les paramètres de connexion dans un fichier .htaccess dans un répertoire admin protégé par MDP.
2. l'instruction mysql_pconnect pourrait poser problème car il n'y a pas de fermeture de l'accès à la BDD.
3. comme il s'agit des données recueillies par un formulaire, pour éviter l'injection SQL, il faudrait utiliser l'instruction : mysql_real_escape_string. Mais je ne sais pas bien comment faire dans ce cas.
En écrivant ce post, j'ai établi mon programme de travail !
Mais un petit coup de main serait bienvenu :)
=========================
Le fichier conn.php =
------------------------------------------------------------------------------------------
<?php
# FileName="Connection_php_mysql.htm"
# Type="MYSQL"
# HTTP="true"
$hostname_conn = "localhost";
$database_conn = "xxxx";// nom de la base de donnée
$username_conn = "xxxx";// votre login hébergeur
$password_conn = "xxxx";// votre mot de passe hébergeur
$conn = mysql_pconnect($hostname_conn, $username_conn, $password_conn) or die(mysql_error());
mysql_select_db($database_conn, $conn);
?>
------------------------------------------------------------------------------------------
Le fichier principal adresse sa requête à la BDD de cette manière =
---------------------------------------------------------------------------------------------
<? require_once ('conn.php');
$sql=sprintf("INSERT INTO `courrier` (`cat`,`ste`,`nom`,`email`) VALUES ('%s','%s','%s','%s')", $cat,$ste,$nom,$email,);
mysql_query($sql,$conn) or die(mysql_error());
?>
------------------------------------------------------------------------------------------
Je voudrais sécuriser l'accès à ma base de données chez Free.
Mon programme principal accède à la BDD en appelant un fichier conn.php qui contient les infos nécessaires à la connexion (Login, MDP, etc).
Après avoir beaucoup tourné en rond,
1. il faudrait que je mette les paramètres de connexion dans un fichier .htaccess dans un répertoire admin protégé par MDP.
2. l'instruction mysql_pconnect pourrait poser problème car il n'y a pas de fermeture de l'accès à la BDD.
3. comme il s'agit des données recueillies par un formulaire, pour éviter l'injection SQL, il faudrait utiliser l'instruction : mysql_real_escape_string. Mais je ne sais pas bien comment faire dans ce cas.
En écrivant ce post, j'ai établi mon programme de travail !
Mais un petit coup de main serait bienvenu :)
=========================
Le fichier conn.php =
------------------------------------------------------------------------------------------
<?php
# FileName="Connection_php_mysql.htm"
# Type="MYSQL"
# HTTP="true"
$hostname_conn = "localhost";
$database_conn = "xxxx";// nom de la base de donnée
$username_conn = "xxxx";// votre login hébergeur
$password_conn = "xxxx";// votre mot de passe hébergeur
$conn = mysql_pconnect($hostname_conn, $username_conn, $password_conn) or die(mysql_error());
mysql_select_db($database_conn, $conn);
?>
------------------------------------------------------------------------------------------
Le fichier principal adresse sa requête à la BDD de cette manière =
---------------------------------------------------------------------------------------------
<? require_once ('conn.php');
$sql=sprintf("INSERT INTO `courrier` (`cat`,`ste`,`nom`,`email`) VALUES ('%s','%s','%s','%s')", $cat,$ste,$nom,$email,);
mysql_query($sql,$conn) or die(mysql_error());
?>
------------------------------------------------------------------------------------------
A voir également:
- Sécurisation accès BDD
- Acces rapide - Guide
- Accès refusé - Guide
- Trousseau d'accès iphone - Guide
- Accès presse papier - Guide
- Je n'ai plus acces a ma boite mail gmail - Guide
1 réponse
free refuse le chmod ... et c'est bien dmg :(
pr le fichier .htaccess je n'peux pas t'aider car j'ai jms reussi a en faire un xD lol
a chaque fois ca plantait dc j'ai bidouillé une solution qui ma foi fct tres bien ^^
( peu orthodoxe mais 'm'en fiche =P lol )
mais voici un tuto pr en créer : https://openclassrooms.com/fr/courses
mysql_pconnect je ne m'en sert pas dc je ne dirais rien ^^
( vaut mieux ca que je te dises des betisses =3 )
pr mysql_real_escape_string() il suffit de s'en servir quand tu compte envoyer la requete sql ^^
( de preference meme avant pr une meilleure lecture ^^ )
cette fct rajoute des \ devant chaque caracteres speciaux pr les despecialiser ^^
de plus pense a hasher les mot de passe ^^
( en md5 sha1 .. etc etc ^^ )
exemple :
$login = mysql_real_escape_string($_POST['login']);
$mdp = SHA1($_POST['mdp']);
$sql="INSERT INTO `membres` (`login`,`mdp`,`email`) VALUES ('".$login."','".$mdp."','".$email."')",
pr le fichier .htaccess je n'peux pas t'aider car j'ai jms reussi a en faire un xD lol
a chaque fois ca plantait dc j'ai bidouillé une solution qui ma foi fct tres bien ^^
( peu orthodoxe mais 'm'en fiche =P lol )
mais voici un tuto pr en créer : https://openclassrooms.com/fr/courses
mysql_pconnect je ne m'en sert pas dc je ne dirais rien ^^
( vaut mieux ca que je te dises des betisses =3 )
pr mysql_real_escape_string() il suffit de s'en servir quand tu compte envoyer la requete sql ^^
( de preference meme avant pr une meilleure lecture ^^ )
cette fct rajoute des \ devant chaque caracteres speciaux pr les despecialiser ^^
de plus pense a hasher les mot de passe ^^
( en md5 sha1 .. etc etc ^^ )
exemple :
$login = mysql_real_escape_string($_POST['login']);
$mdp = SHA1($_POST['mdp']);
$sql="INSERT INTO `membres` (`login`,`mdp`,`email`) VALUES ('".$login."','".$mdp."','".$email."')",
Brachior
Messages postés
613
Date d'inscription
Statut
Membre
Dernière intervention
46
PS : penses si tu hash les mdp .. a hasher aussi le mdp de la personne lorsqu'elle veut se connecter ^^