Aller au contenu

Sujets conseillés

Posté (modifié)

Voila, j'en suis au point de mon projet ou je dois gerer les password et la securité.

Je pense faire trois utilisateurs pour ma base:

--Moi tous les droits.

--Mon client: droits d'ajout de consultation totale et de modification.

--L'internaute: droit de consultation limité pour la base et droit d'ajout pour la base mailing list. il s'agit de la connexion par defaut sans password.

La gestion de ma base se fait par un formulaire de consultation/ajout/Modification de ma base. je pensais mettre une demande de password avant cette page.

Cet acces permettrais les connexion de mon client et de moi...

Les pages de gestion de la base ne sont jamais mises en liens sur le site mais sont appellées par une url tapée dans la barre d'adresse. Les pages d'administration limitée de la base (pour mon client) sont constituées d'un seul formulaire HTML (Celui que je veux proteger par password) et d'un ensemble de scripts PHP.

De plus ce site est un site vitrine, ne nescessitant pas d'enregistrement, car ne possedant pas de partie membre. on peux juste y consulter certaines colonnes de la base. Je ne vois pas l'interet de demander un enregistrement.

Ce systeme bien que simple tiens t'il la route ?

Est ce que j'oublis quelque chose de primordial pour la securité de mon site et de mes bases ?

Faut il utiliser des sessions obligatoirement ?

Modifié par furious Gontran
Posté

Salut, il y à juste un truc qui me gène, cette phrase "consultation/ajout/Modification de ma base", personellement jamais dans l'administration de mes sites je met ce genre de fonctions, n'étant jamais à l'abri d'un trou de sécurité, imagine la catastrophe si une personne arrive à accéder à l'administration...elle peut faire joujou avec ta base comme elle le souhaite :whistling:

Et comme phpmyadmin permet très bien de gérer ses bases, je vois pas pourquoi s'amuser à se faire une administration que pour ça, une administration pour gérer un site oui, je suis entièrement d'accord, mais pour gérer une base de données ça ne me dis rien :P

Sinon, je comprend pas trop ce que tu veux savoir :hypocrite:

Posté

En fait cet administration de la base par formulaire HTML sers a ce que la base soit remplissable par des gens ne s'y connaissant pas du tout en informatique...

Ce que je voulais savoir en fait etait:

-- est il prudent de laisser une telle page (securisé par un password) sur mon serveur??

-- est ce que mon systeme de securité exposé plus haut est credible ??

Posté

Oui et non pour les deux questions. si tu n'a pas d'autres solutions alors fait le, mais fait le bien ( :hypocrite: logique), parce que comme j'ai déjà dit, nul n'est à l'abri du faille de sécurité.

Ou bien crée une base spécialement pour tes clients, au moin tu n'as pas trop de risques pour ton site en lui même ;) .

Voila voila, j'espére t'avoir un peu aider. :)

Posté (modifié)

Est ce que mettre les pages donnant acces l'administration de ma base dans un dossier proteger par htaccess serais efficace ??

Le .htaccess empeche de rentrer dans le repertoire, mais si j'y place ma base les connexions pourront elles avoir encore lieux sans password, ou chaque connexion demanderas le password pour ce repertoire ?

De meme si mes scripts sont dans un repertoire protegé par htaccess pourrais je y acceder quand je les appelerais ?

Modifié par furious Gontran
Posté
../..

Je pense faire trois utilisateurs pour ma base:

--Moi tous les droits.

--Mon client: droits d'ajout de consultation totale et de modification.

--L'internaute: droit de consultation limité pour la base et droit d'ajout pour la base mailing list. il s'agit de la connexion par defaut sans password.

../..

Ca c'est dangereux !

Il est très simple de créer un utilisateur "lambda" dans phpmyadmin, et de lui donner les droits que tu souhaites donner aux internautes.

Le mot de passe ne sera utilisé que dans ton script de connexion à la base, mais au moins elle sera protégée.

Sans mot de passe, il est facile de créer un script qui adresse ta base, et qui te pourrit ta mailing-liste en moins de temps qu'il ne m'a fallu pour écrire cette phrase :( (sauf dans le cas où les connexions à la base depuis un site externe sont interdites, comme par exemple sur les mutualisés OVH ;) )

Dan

Veuillez vous connecter pour commenter

Vous pourrez laisser un commentaire après vous êtes connecté.



Connectez-vous maintenant
×
×
  • Créer...