Sécurité d'un fichier

**Hayabusa** · 06/09/2006, 22h51

Bonjour,

En m'intéressant à la sécurité de mon site, je suis aller lire la FAQ de ce forum.

Je tombe là dessus

http://php.developpez.com/faq/?page=...e_protectfiles

Ma question porte sur le "niveau 2"

Je veux proteger mon fichier connect_db.inc.php, qui est la connexion à ma BDD, qui contient donc mes identifiants et mot de passe.
Mais je mets un HTACCESS sur le dossier le contenant, je ne pourrai plus l'inclure dans mes pages, parce que on demendera le code, ce que les internautes ne pourront pas donner...

Donc je voudrais savoir si y a un autre moyen de proteger ce fichier.
merci d'avance

**alain31tl** · 07/09/2006, 00h24

Salut

Tu te connectes sur ton site en faisant :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
http://www.tonsite.com/tondossier/connect_db.inc.php

Tu fais un clic droit de souris et afficher la source, que vois-tu ?

Le titre du lien cité stipule :

Que puis-je faire pour protéger les fichiers source dans lesquels apparaissent en clair des informations sensibles ?

**Fladnag** · 07/09/2006, 09h45

Envoyé par Hayabusa

Mais je mets un HTACCESS sur le dossier le contenant, je ne pourrai plus l'inclure dans mes pages, parce que on demendera le code

non, tu peut mettre ton fichier dans un dossier protegé par .htaccess, le include('dossierprotegé/fichier.inc.php'); fonctionnera toujours.

le .htaccess n'est pris en compte que lors d'une requete HTTP, donc si tu fait : include('http://tonsite.com/dossierprotegé/fichier.inc.php'); là ca ne marchera pas.

**alain31tl** · 07/09/2006, 09h55

Alors question (pour ma gouverne) quel est l'intérêt de brider l'accés à un fichier de connexion, certes qui contient des données sensibles, mais qui restent illisibles.

**Fladnag** · 07/09/2006, 10h09

L'interet de mettre un fichier config.inc.php dans une dossier protégé par un .htaccess (personnellement je prefere mettre juste "deny from all" dedans) est le suivant :

Un serveur web avec php est composé de 2 elements essentiel :

* Le serveur web (apache en général)
* Le serveur php

Comme il s'agit de deux serveurs différents, l'un peut "tomber" alors que l'autre continue de tourner, a la suite d'un probleme materiel, logiciel, ou d'une attaque ciblé sur l'un d'entre eux (par un mechant pirate qui voudrait lire tes données ;o)

Maintenant, considere ceci :
Un fichier .php est lu et interprété par le serveur php. C'est lui qui va se charger de transformer

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
<?php
$pass='....';
?>

en un fichier HTML vide, car il n'y a pas de echo

Donc si on fait tomber le serveur php MAIS que le serveur web (apache) continue de tourner, la page s'affichera EN CLAIR, les informations php non interpretées => donc probleme ;o)

Maintenant, si tu as un fichier .htaccess dans le repertoire contenant le fichier en question, c'est impossible...
car le .htaccess est géré par le serveur apache lui meme. Et si tu fait "tomber" le serveur apache, ton site ne sera plus accessible du tout, donc encore moins un de ses fichiers ;o)

Il s'agit donc du niveau ou tu souhaites placer la sécurité.

Pour la petite histoire, il est tout a fait possible qu'un serveur php tombe sur un site un peu surchargé... il m'est deja arrivé, en consultant un forum d'aide (pas celui ci, un autre ;o) d'avoir de temps en temps acces a des portions de code non interpretés parce que le serveur php avait rendu l'âme au milieu du traitement ;o)

**alain31tl** · 07/09/2006, 10h34

Ok c'est clair.
En résumé et sans remettre en cause la philosophie du php, c'est surtout plus pour se protéger d'un incident "matériel".
Je bosse généralement avec des packs ovh et il me semble que ce fournisseur prévoit des relais serveurs dans ses installations, sans doute pour palier à ces failles possibles (?), je ne le confirmerai pas car côté matos, c'est pas mon truc.
En tout cas, merci pour les explications.

**Fladnag** · 07/09/2006, 10h39

Envoyé par alain31tl

En résumé et sans remettre en cause la philosophie du php, c'est surtout plus pour se protéger d'un incident "matériel".

Ou d'une attaque ciblée ;o)
Aucun serveur n'est "invincible"... et puis, ca coute rien de mettre son fichier dans un dossier protegé par un "deny from all", alors pourquoi s'en passer ?

**alain31tl** · 07/09/2006, 10h45

Ca coute rien, ça coute rien....heu....et le café ?

Non, j'rigole ! lllollll

**Hayabusa** · 07/09/2006, 19h01

Envoyé par Fladnag

non, tu peut mettre ton fichier dans un dossier protegé par .htaccess, le include('dossierprotegé/fichier.inc.php'); fonctionnera toujours.

le .htaccess n'est pris en compte que lors d'une requete HTTP, donc si tu fait : include('http://tonsite.com/dossierprotegé/fichier.inc.php'); là ca ne marchera pas.

par contre si je fais
include('dossierprotegé/fichier.inc.php');

ça marchera, c'est ça ?

ou alors j'ia pas compris...