Sécurisation des informations d’une base MySql

**francoisch** · 31/08/2012, 11h31

Bonjour

J’accède à une base MySql depuis du code Php, une situation banale.

Dans mon code Php, je spécifie naturellement les 4 caractéristiques techniques de la base MySql : serveur, nom utilisateur, mot de passe, nom de la base.

Le malveillant qui arriverait à lire ces informations pourrait aller ravager le contenu de ma base.

Est-il possible de sécuriser ces informations ? En plaçant le module Php dans un dossier protégé par un Htaccess ? Serait-il possible de crypter ces informations ? autre?

Merci par avance de votre aide.

Francois

**grunk** · 31/08/2012, 11h53

Ce genre d'information n'est normalement pas accessible via le web (pas dans la racine web) donc à priori pas de problème.
Et si jamais un vilain pirate arrive à accéder à un fichier qui n'est pas accessible depuis le web , ton mot de passe mysql sera le dernier de tes soucis

Serait-il possible de crypter ces informations

oui c'est possible , mais la clé de cryptage tu la place où ? Sur le serveur ? même problème qu'avant

**francoisch** · 31/08/2012, 14h02

Merci de ta réponse.

Oui, je ne voyais pas de réponse mais j'ai préféré poser la question pour le cas où qqechose m'aurait échappé.

Comme j'ai eu récemment un Forum détruit et deux blogs endommagés, je regarde à deux fois ces sujets de sécurisation.

J'ai encore pratiquement tous les jours un signalement d'erreur 404 sur des recherches de mon ancien forum.

Francois

**grunk** · 31/08/2012, 15h30

Envoyé par francoisch

Merci de ta réponse.

Oui, je ne voyais pas de réponse mais j'ai préféré poser la question pour le cas où qqechose m'aurait échappé.

Comme j'ai eu récemment un Forum détruit et deux blogs endommagés, je regarde à deux fois ces sujets de sécurisation.

J'ai encore pratiquement tous les jours un signalement d'erreur 404 sur des recherches de mon ancien forum.

Francois

Il est assez rare qu'une attaque provienne d'une lecture en clair d'un fichier de config. C'est plus souvent à cause d'une injection de code malicieux.

Si jamais tu ne peux pas sortir ton fichier de config de la racine web (hébergement mutualisé par exemple) tu peux en interdire l'accès avec un htaccess :

Dans le dossier contenant le fichier tu crée un htaccess avec :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
<Files config.php>
deny from all
</Files>

PHP pourra toujours allez chercher le fichier mais pas un attaquant (pas en http en tout cas).

**francoisch** · 31/08/2012, 19h14

Merci de ta réponse.

Je vais effectivement placer mon fichier sensible dans un sous-dossier et y mettre un Htaccess avec la spécification que tu indiques.

Ca me convient parfaitement, je te remercie de ton aide précieuse.

Francois

Sécurisation des informations d’une base MySql

Langage PHP

Discussions similaires

Partager

Partager