Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
Stockage sécurisé des données de connexion
Bonjour,
J'ai une simple question relative au stockage de login
Actuellement j'ai un fichier config.php ou je met mes datas pour me connecter à deux Bdd. User , login , table , serveur. Les datas sont en clair...
La seule chose bien faites est que le fichier n'est pas accessible via http, seule un autre utilisateur nécessaire ou root y ont accès.
Je me demandais comment rendre ca plus sécurisé.
Merci d'avance
Bonjour
Joomla (fichier nommé configuration.php), WordPress (wp-config.php) ou tant d'autres (fichiers .env) ont tous en commun d'avoir ce type de données en clair et c'est... normal : il faut bien que le code php puisse lancer une connexion vers 'à base de données et donc avoir un login et un mot de passe a transmettre.
Peux-tu faire mieux ? Oui en utilisant des connexions type ssl mais c'est bien plus complexe à mettre en place et plus restrictif (tous les hébergeur ne le permettront pas).
Donc oui la sécurisation (ok, peut mieux faire) se fait en bloquant l'accès depuis une URL, par un fichier .htaccess par exemple.
Christophe (cavo789)
Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
Merci bien
Autant poser la question que d'être ignorant.
Belle journée à toi
Y a quand même beaucoup mieux à faire, comme mettre les identifiants dans les variables d'environnement du serveur par exemple.
Ouch... var_dump de $_SERVER et tout est accessible en clair (https://www.php.net/manual/en/reserv...les.server.php).Envoyé par Bisûnûrs
Maintenant ce que tu proposes serait possible si c'est ton serveur. En mutualisé, c'est mort.
Non, le mieux serait des clés SSH mais là encore il te faut ton serveur et c'est moins "ouvert" (non supporté par joomla, WordPress, laravel et tutti quanti).
Christophe (cavo789)
Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
Oui, et c'est le principe notamment du fichier .env de Symfony. Tant que le fichier n'est pas commit sur un système de contrôle de versions...
A partir du moment où un tiers peut afficher le contenu de ta variable $_SERVER c'est qu'il a déjà piraté ton serveur, donc bon.
Et on peut utiliser le .htaccess pour transmettre des variables d'environnement avec SetEnv, utilisable sur des mutualisés.
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Répondre avec citation
Partager