Sécurité au niveau script php (pass) - PHP - Programmation
Marsh Posté le 26-01-2005 à 17:16:57
1- Aucun aspirateur de site ne peut récupérer les sources PHP.
2- La protection par .htaccess n'est pas une mauvaise idée.
Marsh Posté le 26-01-2005 à 18:02:46
Autre possibilité qui rejoint le .htaccess : mettre le fichier en dehors de l'arborescence web d'apache. Ce qui n'est généralement pas possible chez un hébergeur
Marsh Posté le 26-01-2005 à 18:32:02
Il existe un risque très minime. Pour peu que l'extension du fichier ne soit pas reconnue (suite à une mauvaise config), le fichier serait transmis tel quel, non interpreté.
Mais bon, ce n'est sans doute pas la première faille sur laquelle s'acharner (les "info leaks" sont les premiers à surveiller; sql injection etc).
Marsh Posté le 26-01-2005 à 20:52:58
De toute manière, et d'une manière générale, les serveurs MySql n'authorisent que les connexions locales, non ?
Marsh Posté le 26-01-2005 à 21:46:37
C'est configurable, donc ca depends.
Mais c'est vrai que chez la pluspart des hebergeurs la connexion a mysql ne peut etre faite qu'en local.
Marsh Posté le 26-01-2005 à 21:48:21
Il suffit donc du user, du mot de passe et d'un autre compte chez le même hebergeur...
De plus souvent le user/pass en question est le même que pour le ftp
Marsh Posté le 26-01-2005 à 17:08:13
Voila ma question va peut-être vous paraitre conne mais je suit obliger de metrtre mon mot de passe sql dans mes page php, je sait que les personnes ne peuvent pas afficher la source, mais ne peuvent il pas avec un aspirateur de site arriver à consulter la source de la page et voir le mot de passe, est-ce que mettre la page contenant les parametre de connection sql dans un dossier protégé par htaccess est suffisante ?