Discussion :

[Yoshidu62]

Bonjour,

j'aimerais savoir si il existe une méthode pour éviter de mettre en clair le mot de passe utilisé pour la connexion à une base de donnée.

Lorsque l'on veut se connecter à une base en php, il faut déclarer le password, l'hôte et l'utilisateur :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
$hostname = "localhost";
$passwd = "secret";
$user = "toto";
 
mysql_pconnect($hostname,$user,$passwd);

Je voudrais éviter de mettre le password en clair dans mon fichier php.

Existe-t-il un moyen de faire cela?


Merci.

[Yoshidu62]

Personne ne connaît un moyen de faire ça?

[ePoX]

Je ne vois même pas comme une telle chose pourrait être utile.

Supposons que, mysql accepte un password crypter/hasher.
Ce qui donnerais à peu près cela :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
mysql_pconnect($hostname,$user,$EncryptedPasswd);

En quoi aurais je besoin de connaitre le password en clair pour me connecter ?
Si j'ai accès à la source, et donc au password crypter, je suis donc la capacité de me connecter à la base de donnée.
Il me suffit de duliquer la ligne de code ci dessus et de l'insérer dans mon script.
Ce qui revient exactement au même que de posséder le mot de passe en clair.

A ceci près que je ne connais pas le password en clair.
Mais en soit un password en clair n'à pas de valeur, il n'à de valeur que parce qu'il est un moyen d'accès à une ressource restreinte.

Alors qu'il soit en clair ou en crypter, qu'importe dans ce cas je pourrais accéder à mon but.

Sinon, je ne sais pas ce à quoi un tel système pourrait t'être utile, mais je suis prêt à parier qu'il existe d'autre solution plus efficace.

bbye

[Yoshidu62]

Je suis tout à fait d'accord avec toi, mais comme je n'ai pas la science infuse, je me permettait de demander quand même, au cas où il existerait un moyen.

J'ai bien cherché de mon côté et je n'ai rien trouvé pour réaliser cela, la seule solution serait d'avoir une boîte de dialogue lors de la connexion et de mettre le password comme ça, pour éviter qu'il soit mis dans le code en clair, mais c'est vraiment pas pratique.

L'idée d'encrypter le passwd est simplement une question de sécurité, on m'a demandé de chercher si cela était possible à faire, donc je cherche, je me renseigne.

Visiblement cela est impossible, et je trouve ça normal, je vois pas comment on pourrait faire.

Néanmoins pour plus de sécurité, je peux déjà utiliser un user ayant des droits restreints pour ma connexion, au moins si quelqu'un venait à trouver le passwd il serait connecter à la base avec des droits très restreint, c'est déjà ça

Merci.