Aller au contenu

Sujets conseillés

Posté

Je vous soumet une astuce de sioux qui m'a été suggérée par un hacker, histoire de protéger les login et pass de vos bases mysql.

Imaginons la structure de votre ftp suivante :

/ la racine, non accessible par le web

/www ou se trouve votre ou vos sites.

Imaginons que vos données de connexions se trouvent dans /www/config.php

L'astuce consiste à descendre d'un niveau le config.php, c'est à dire /config.php

Pour se connecter à la base il faut bien entendu accéder à ce fichier, il suffit alors de remplacer le contenu de /www/config.php par :

<?
include("../../config.php");
?>

Vous en pensez quoi ?

Posté

En général, on met par exemple les fichier .htpasswd en dehors de l'espace web.

Le seul cas où cela peut aider de mettre un fichier de config dans cet espace est lorsque php ne marche pas, et que le code est affiché au lieu d'être interprété.

Mais dans la logique de fonctionnement d'un site web, et avec php en module apache, php tournera automatiquement lorsque Apache sera démarré. Donc pas de risque de divulger les infos de connexion.

Un point toutefois, il ne faut JAMAIS nommer un fichier config.php.inc comme le font certains débutants, parce que celui là sera affiché en clair. Il faut préférer config.inc.php qui lui sera interprété.

Dan

Veuillez vous connecter pour commenter

Vous pourrez laisser un commentaire après vous êtes connecté.



Connectez-vous maintenant
×
×
  • Créer...