question sur securite

7 posts / 0 new

mar, 12/02/2008 - 13:31

dbobby

Bonjour
J'ai cree un site,avec un acces limitee a certain pages limitees et accessible uniquement au personnes inscrit sur ce site.
Ce qui m'inquete un peu depuis ce matin,puis que je nai meme pas pense,c''est l'aspiration du site. la ou je me trouva la je ne peut pas tester ca.
Alors si on arrive a aspirer mon site alors on pourai recuperer mes parametres de gestion mysql dans les fichiers php, comme login,pass, etc.
Tout ca serai plus que embetant.
alors dites moi ,svp, est ce que vous connaissez un moyen a empecher tout ca. je vu un peu sur le net la question, mais apparament c'est quasiment inpossible d'empecher l'aspration d'un site, mais il doit bien exister un moyen a proteger des fichiers php
merci d'avance

mar, 12/02/2008 - 14:01

willbback

C'esst malheuresement pas le bon forum

Alors si on arrive a aspirer mon site alors on pourai recuperer mes parametres de gestion mysql dans les fichiers php, comme login,pass, etc.

Je ne comprends pas tout dans la question. Le code php est éxécuté. Ce qui est vu par les "aspirateurs de site" n'est que le code HTML produit. Donc il n'y a aucune raison qu'ils puissent voir tes paramètres mysql.
A moins que tu les passe dans un champs hidden de ta page, mais là, y a vraiment du souccis à te faire.

mar, 12/02/2008 - 16:37

philcero

Problème basique en fait,

généralement su tu utilise des credentials pour accéder à quelque chose de sécurisé en PHP, tu vas les exporter dans un fichier dédié tout simple.

<?php
global $compte, $motdepasse;
$compte='titi';
$motdepasse='gros-minet';
?>

Il te suffit ensuite de faire un include de ce source dans tes sources PHP.

Ceci aurra pour effet de rendre tes credentials inaccessibles car dans un code sans aucune instruction donc non plantable. Toute attaque de ton site qui se solderait par des plantages de pages basés sur des contenus de formulaires floués se solderait au pire par l'affichage d'un code source sans aucun credential, juste des noms de variables, donc qui ne sert généralement à rien.

Petit conseil, tu peux également développer ton application en tant que module d'un moteur type Joomla par exemple qui lui va te fournir tout ce qu'il faut.

mar, 12/02/2008 - 19:05

dbobby

merci, mais je doit avouer que je n'ai pas bien compris. si vous pouvez deja me dire ce qui sont des credentials dans php.
merci
dbobby

ven, 15/02/2008 - 14:17

dbobby

Bonjour
Personne me repond ! ok, pas grave , je ferai sans. Par contre , je vais vous indiquee ici les fruits de mes recherches si ca vous interesse .
je pense je vais suivre le conseil de philcero ,(merci pour sa reponse), et essayer joomla. Je possede un site payant et mon fournisseur a le service joomla. le probleme est que sur le forums de cette fournisseur, il y a des utilisateurs qui disent qu'ils ont eu pas mal de problemes avec joomla jusqu'a rendre inaccesible leurs site !!! alors pour l'instant je voulai essayer avec un fournisseur gratuit.
alors pour trouver un fournisseur gratuit permettant joomla, ce qui n'est pas evident vous pouver tapper dans google "joomla free web hosting".
d'ailleur j'ai trouve aussi un annuaire de webhosting gratuit qui j'ai trouve particulierement bien fait , puis que il a des liens pour tout les pays, mais anglophone est le mieux. c est a l'adresse :
http://www.freewebspace.net/
tout ces trucs sont en anglais, desolee :oops:
mais c'est pas mal de tout je trouve
voila,jespere que tout ca vous est util
a bientot
Dbobby
PS si qq peut me repondre a mon precedent post, ca serai gentil, par ce que j'ai tj pas compris. Si je ecrit mes parametres dans un fichier externe l'aspirateu de site telecharge ce fichier aussi , ou je me trompe :? je n'ai tj pas essaye si un aspirateur de site aspire des php's, normalement oui, non ?

ven, 15/02/2008 - 18:39

fredericmazue

Quote:

Si je ecrit mes parametres dans un fichier externe l'aspirateu de site telecharge ce fichier aussi , ou je me trompe

Tu te trompes. Willbback t'as répondu déjà. Et philcéro aussi.

dim, 17/02/2008 - 13:29

dbobby

ok, merci

Post reply