dimi3 Posté 30 Décembre 2010 Partager Posté 30 Décembre 2010 Bonjour, J'ai appris dans un autre fil qu'un code PHP ne pouvait être récupéré par le biais d'un aspirateur de site. Je me pose alors la question suivante : Y a-t-il un risque d'écrire en clair un mot de passe dans un fichier codé en PHP ? Par exemple : $mdp = "toto";. Merci de votre réponse. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Ernestine Posté 30 Décembre 2010 Partager Posté 30 Décembre 2010 Salut, Le code PHP ne peut pas être récupéré par un aspirateur de site. Un aspirateur n'a pas plus de pouvoir qu'un navigateur classique. Pour le mot de passe, il n'y a normalement aucun problème à l'écrire en clair dans le code php. Pour plus de sécurité, il est toujours possible de placer le fichier php délicat (celui qui contient le mot de passe) dans un dossier du serveur qui ne soit pas accessible via http, et là, tu es vraiment tranquille. Lien vers le commentaire Partager sur d’autres sites More sharing options...
dimi3 Posté 30 Décembre 2010 Auteur Partager Posté 30 Décembre 2010 Merci pour votre réponse claire. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Aenoa Posté 30 Décembre 2010 Partager Posté 30 Décembre 2010 Tu peut donc, par exemple, créer un fichier "data.inc.php" et faire un include('data.inc.php'); dans ton code. Si tu veut plus de sécurité, et que cela concerne ton site, tu peut crypter le mot de passe. Par exemple, lorsqu'il s'inscrit, le formulaire $_POST['pass'] sera en clair. Mais en faisant une insertion mysql du pass comme ceci : password=\''.sha1($_POST['pass']).'\' tu crypte donc le password en SHA1, et lorsque tu te (re)connecte au site, tu va chercher la donnée cryptée (ce qui donne un truc du genre "1bfbdf35b1359fc6b6f93893874cf23a50293de5", tu crypte le pass qu'il y a dans ta base de donnée avec le SHA1($PASS), $PASS étant le formulaire "password" lors de la connexion, et tu compare les deux. Empêcher l'accès en HTTP est, si tu n'a pas encore trouvé, comme ceci: <Files #NOM_DU_FICHIER>order allow, denydeny from all</Files> Voilà Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dan Posté 30 Décembre 2010 Partager Posté 30 Décembre 2010 Une précision importante : Attention au nom du fichier que tu inclus ! Il FAUT IMPERATIVEMENT que son extension soit .php si tu veux qu'il ne soit pas lisible "en clair". Trop d'utilisateurs utilisent encore des fichiers nommés config.inc (qui sont lisibles en clair, y compris les mots de passe) au lieu de config.inc.php ! Je sais que cela peut sembler évident pour les anciens, mais je pense qu'il n'était pas inutile de rappeler cela pour les nouveaux webmasters. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Jeanluc Posté 30 Décembre 2010 Partager Posté 30 Décembre 2010 Les mots de passe sont en clair dans wp-config.php de WordPress. Cela devrait rassurer les plus inquiets. Si c'était dangereux, cela ferait beaucoup de blogs et autres sites en danger ! Jean-Luc Lien vers le commentaire Partager sur d’autres sites More sharing options...
dimi3 Posté 30 Décembre 2010 Auteur Partager Posté 30 Décembre 2010 merci pour toutes ces précisions supplémentaires. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Sujets conseillés
Veuillez vous connecter pour commenter
Vous pourrez laisser un commentaire après vous êtes connecté.
Connectez-vous maintenant