connexion à la BD, pas besoin du nom user? - PHP - Programmation
Marsh Posté le 14-02-2006 à 10:09:57
tu as faux. Il te faut regarder les users declarés dans MySQL. Tu peux creer sans probleme un compte du type:
-tout utilisateur
-server %
-ss mot de passe
là c'est la porte ouverte.
Marsh Posté le 18-02-2006 à 09:57:12
merde je trouve pas la table des users et je ne vois qu'une base de données (la mienne)
Marsh Posté le 18-02-2006 à 11:57:17
C'est sur quel hébergeur ton ftp ?
Marsh Posté le 18-02-2006 à 14:43:41
Ba ça doit être free qui se moque complétement de ce qu'on met dans le mysql_connect.
Marsh Posté le 18-02-2006 à 14:58:52
Ce serait etonnant de leur part. Ca fait une belle faille de sécurité
Marsh Posté le 18-02-2006 à 16:41:43
Ba pas vraiment parce ça te connecte à ta base de donnée à toi et pas une autre. Par contre il est vrai que ça peut poser des problèmes en cas de faille d'include.
Mais quand on voit qu'il n'y a pas de gestion des droit d'accès au fichiers, je trouve que ça fait un peut peur dans le sens où une faille dans un script qui permettrais de lire un fichier, ne serais-ce que pour en afficher le contenu, on peut facilement lire le contenu d'un .htaccess où les mdp ne sont pas crypté chez free.
Conclusion, pas mal de choses sont à revoir chez free, car leur modifs facillites effectivement l'utilisation pour les novices mais la sécurité en prend un cou.
Marsh Posté le 14-02-2006 à 09:06:12
Bonjour,
je viens de récupérer mes fichiers de mon ftp pour avoir une sauvegarde locale, et je m'apercois dans le fichier qui sert à se connecter à la base de données:
Si vous regardez bien le $user, j'ai fait une faute de frappe. Pourtant la connexion se fait bel et bien. Mon hypothèse c'est que le nom du user est facultatif si on met localhost en nom de serveur. J'ai tout juste ou tou faux?
merci
---------------
Direct-download.com, le moteur de recherche pour Mega