Aller au contenu

mot de passe en clair dans un code PHP et sécurité


Sujets conseillés

Posté

Bonjour,

J'ai appris dans un autre fil qu'un code PHP ne pouvait être récupéré par le biais d'un aspirateur de site. Je me pose alors la question suivante : Y a-t-il un risque d'écrire en clair un mot de passe dans un fichier codé en PHP ? Par exemple : $mdp = "toto";.

Merci de votre réponse.

Posté

Salut,

Le code PHP ne peut pas être récupéré par un aspirateur de site. Un aspirateur n'a pas plus de pouvoir qu'un navigateur classique.

Pour le mot de passe, il n'y a normalement aucun problème à l'écrire en clair dans le code php. Pour plus de sécurité, il est toujours possible de placer le fichier php délicat (celui qui contient le mot de passe) dans un dossier du serveur qui ne soit pas accessible via http, et là, tu es vraiment tranquille.

Posté

Tu peut donc, par exemple, créer un fichier "data.inc.php" et faire un include('data.inc.php'); dans ton code. Si tu veut plus de sécurité, et que cela concerne ton site, tu peut crypter le mot de passe. Par exemple, lorsqu'il s'inscrit, le formulaire $_POST['pass'] sera en clair. Mais en faisant une insertion mysql du pass comme ceci :

password=\''.sha1($_POST['pass']).'\'

tu crypte donc le password en SHA1, et lorsque tu te (re)connecte au site, tu va chercher la donnée cryptée (ce qui donne un truc du genre "1bfbdf35b1359fc6b6f93893874cf23a50293de5", tu crypte le pass qu'il y a dans ta base de donnée avec le SHA1($PASS), $PASS étant le formulaire "password" lors de la connexion, et tu compare les deux.

Empêcher l'accès en HTTP est, si tu n'a pas encore trouvé, comme ceci:

<Files #NOM_DU_FICHIER>
order allow, deny
deny from all
</Files>

Voilà ;)

Posté

Une précision importante : Attention au nom du fichier que tu inclus !

Il FAUT IMPERATIVEMENT que son extension soit .php si tu veux qu'il ne soit pas lisible "en clair".

Trop d'utilisateurs utilisent encore des fichiers nommés config.inc (qui sont lisibles en clair, y compris les mots de passe) au lieu de config.inc.php !

Je sais que cela peut sembler évident pour les anciens, mais je pense qu'il n'était pas inutile de rappeler cela pour les nouveaux webmasters.

Posté

Les mots de passe sont en clair dans wp-config.php de WordPress. Cela devrait rassurer les plus inquiets. Si c'était dangereux, cela ferait beaucoup de blogs et autres sites en danger !

Jean-Luc

Veuillez vous connecter pour commenter

Vous pourrez laisser un commentaire après vous êtes connecté.



Connectez-vous maintenant
×
×
  • Créer...