Mot de passe en clair dans mysql_connect()

[franck05]

Bonjour,

Afin de sécuriser mes connections avec ma base de données je voudrais savoir si il est possible de ne pas écrire en clair mon de passe de base de données dans la commande mysql_connect($host, $user,$passwd)
dans mes fichiers ? ou alors avec une ruse de siou ?

D'avance merci pour votre aide

[dd32]

http://www.commentcamarche.net/php/phpbdd.php3

Rappel: Les variables ne sont pas visibles par vos visiteurs étant donné que le script (portant l'extension .php) est systématiquement interprété par le serveur Web

enfin, y'a peut-être une astuce...mais c'est plutôt ce qu'il y a autour qu'il faudrait contrôler :
http://www.phpsecure.info/v2/article/php-security.php

pour éviter d'arriver à ce genre de chose :

<?
copy("page.php","page_source.txt");
?>
Il suffit maintenant à l'attaquant de consulter le fichier page_source.txt pour récupérer vos mots de passe d'administration de MySQL.

voir le reste de la commande sur le lien cité ci-dessus...

[Xou]

Bonjour,

il suffit de crypter tes mots de passe en MD5 !

[dd32]

oui mais dans ce cas, tu copies le mot de passe (qui aura été crypté en md5 au préalable en dehors du code) en dur dans ton code sachant ceci :
http://www.npds.org/viewtopic.php?topic=14039&forum=12 ? certes c'est plus secure mais bon discutable.

[franck05]

merci pour vos réponse

en fait c'est pas pour protéger des visiteurs mais des développeurs (cf. loi Sarbanes & Oxley)

le md5 je sais pas si ça fonctionne car dans mysql les mots de passe sont chiffrés avec une fonction qui est PASSWORD...

quelques tests s'imposent, mais bon c'est pas gagné

[dd32]

Avec mysql y'a la fonction MD5() aussi... mais là n'est pas la question car il s'agit du mot de passe de la bdd, pas d'un mot de passe utilisateur... ou j'ai rien compris ??
Comment tu fais pour comparer avec la bdd si le mot de passe de connexion à la bdd est ok sans être au préalable connecté à cette même bdd pour récupérer le bon mot de passe ? :p

[Grantome]

Tu le met en clair dans un fichier conf.php, lui même dans un répertoire data. dans .htacess, tu met deny from all.

Ainsi, suel une page du domaine peut appeler le fichier. et il est invisible pour tout le monde.

[Robinson]

Ce n'est pas ce qu'il demande.

Mais je ne pense pas que cela est possible mis à part modifier et recompiler php pour que la fonction mysql_connect connaisse elle-même le code.
Mais le problème sera le même. Le mot de passe est inutile dès que l'on a la possibilité d'utiliser des requetes sur la base.

[Zim']

Avec mysql y'a la fonction MD5() aussi... mais là n'est pas la question car il s'agit du mot de passe de la bdd, pas d'un mot de passe utilisateur... ou j'ai rien compris ??
Comment tu fais pour comparer avec la bdd si le mot de passe de connexion à la bdd est ok sans être au préalable connecté à cette même bdd pour récupérer le bon mot de passe ? :p

C'est simple, tu hash ton mot de pass mysql en md5(), puis tu créer un script php pour le "casser", puis ensuite tu te connecte à mysql

Ralala, que vous etes betes

[dd32]

C'est simple, tu hash ton mot de pass mysql en md5(), puis tu créer un script php pour le "casser", puis ensuite tu te connecte à mysql

Ralala, que vous etes betes

Certes, bête je suis mais je n'en voyais pas l'intérêt car j'avais zappé cette ligne :

en fait c'est pas pour protéger des visiteurs mais des développeurs

maintenant je comprends mieux...

[Zim']

Moi je dis, vous hackez le serveur de la NSA pour crypter votre CS et le contenu de votre base de donnée, que vous encryptez ensuite avec un algo à vous, et vous diffusez le tout en morse via un flux mp3 en streaming...


dsl... mais le topic me parait tellement inutile...

[sebnutt]

Tu le met en clair dans un fichier conf.php, lui même dans un répertoire data. dans .htacess, tu met deny from all.

Ainsi, suel une page du domaine peut appeler le fichier. et il est invisible pour tout le monde.

ou encore un fichier .htconf auquel seul a accès le root et personne via le web...

[franck05]

Moi je dis, vous hackez le serveur de la NSA pour crypter votre CS et le contenu de votre base de donnée, que vous encryptez ensuite avec un algo à vous, et vous diffusez le tout en morse via un flux mp3 en streaming...


dsl... mais le topic me parait tellement inutile...

oui toi aussi tu m'as l'air assez inutile
sais tu au moins ce qu'est Sarbanes et Oxley, et as tu réellement compris la problématique ? si c'est non, vas jouer aux billes

[Zim']

non je sais pas ce qu'est sarbanes et oxley, mais oui j'ai bien compris la problématique... et j'vois surtout un probleme la ou il n'yen a pas vraiment...

Sinon, dis moi ce qu'est sarbanes et oxley, j'me coucherai moins con... ou alors j'vais jouer aux billes.

[franck05]

justement pour comprendre la problématique faudrait peut etre savoir ce qu'est SARBOX, pour savoir : google est ton amis