Discussion :

[Seb981]

Bonjour à tous,

Pourriez-vous me dire si les mots de passe doivent être obligatoirement dans un fichier inc.php ? car je les ai mis dans un fichier .php.

Dois-je les changer de place ?
J'espere que vous pourrez me conseiller.

( ex : mot de passe de la base de données)

[nu_tango]

Mets les dans un et un fichier pass.php que tu places dans un dossier includes par exemple.

Ainsi lorsque tu veux les utiliser tu fais un include_once ou require_once :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

include_once('includes/pass.php');

[julp]

Ça ne change rien au final puisque l'extension (.php ici) est la même et donc ces fichiers seront vus et traités, par le serveur, de la même manière (à moins de vraiment avoir distingué les deux cas).

Ce qui compte c'est qu'il ne puisse pas être vu sans être interprété donc quelqu'un y accédant directement par son URL ne le verrait pas et/ou protégé par htaccess, exemple pour des fichiers ini :

Code X :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
<Files ~ "\.ini$">
    Order allow,deny
    Deny from all
    Satisfy All
</Files>

[akara]

bonjour à tous,
@julp que signifie cette ligne

Files ~ "\.ini$

[julp]

Le tilde => utilisation d'une expression régulière
\.ini$ => le point est un métacaractère (caractère possédant une signification particulière), il faut donc l'échapper (le faire précéder d'un antislash) pour qu'il retrouve sa valeur de "simple caractère". Le dollar correspond à la fin de la chaîne (nom du fichier). Ce qu'on peut traduire par tout fichier se terminant par .ini (son extension quoi).

Pour plus d'infos : la documentation de la directive Files et FilesMatch.

[akara]

ah oui ?!,merci
donc Seb981 devrait faire un fichier conn.ini et mettre dans ce fichier :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
 
	// identifiants de connexion au serveur MySQL
	$host="localhost";
	$user="machin";
	$pswd="chouette";
	$base="truc";
	if (!mysql_connect($host,$user,$pswd)){
		exit("Echec de connexion au serveur...");
	}
	if (!mysql_select_db($base)){
		exit("Echec de sélection de la base...");
	}

si le fichier conn.ini se trouve dans un dossier 'inc'
mettre dans la page .php:
require_once('inc/conn.ini');

[julp]

Non ! L'exemple avec les fichiers .ini c'était pour montrer que ça ne s'applique pas qu'aux fichiers PHP. Pour un tel fichier vous avez tout intérêt à donner une extension .php au fichier pour être certain que quoiqu'il arrive il soit interprété (sauf problèmes au niveau du serveur). Vous pouvez en plus appliquez ce htaccess à des fichiers php de manière localisée (à un répertoire comme celui que l'on appelle généralement includes) pour qu'un utilisateur ne puisse pas en plus y faire directement appel (et ce qui permettrait de gérer le cas d'une panne temporaire d'interprétation de PHP).

Vous pouvez si ça vous chante bien sûr utilisez un fichier .ini mais j'en vois guère l'intérêt (tant qu'il est inclus et syntaxiquement correct cela fonctionnera). Certains frameworks (Zend pour ne pas le citer) propose cette méthode (parmi d'autres) pour stocker des paramètres (dont ceux de la connexion aux bases de données) mais ça n'a aucun sens d'y mettre du code PHP !

[MANU_2]

La gestion des mdp se fait dans un fichier *.php car le php est interpréter par le serveur avant d'être envoyé à l'internaute => l'internasute ne voit pas le bon mdp.

Si la gestion du mdp se fait dans un *.html, il est très facile de récupérer le bon mdp.

Et peu importe le nom, pourvu qu'il est l'extension php.

Pour stocker les mdp, il est préférable de les mettre dans une BD.

[Seb981]

Merci à vous tous pour ces commentaires très intéressant.

J'ai donc pas de souci à me faire si mes mots de passe se font dans un fichier .php.

@+ Seb

[julp]

J'ai donc pas de souci à me faire si mes mots de passe se font dans un fichier .php.

Non ! Si vous en avez la possibilité vous pouvez retirer tous les scripts qui ne doivent pas être appelés directement en dehors de la racine du serveur comme cela est conseillé mais on en a généralement pas la possibilité sur des hébergements de type mutualisé ...

[Seb981]

Ok ! Merci julp pour cette indication.

@+ Seb

[chaced]

Non ! Si vous en avez la possibilité vous pouvez retirer tous les scripts qui ne doivent pas être appelés directement en dehors de la racine du serveur comme cela est conseillé mais on en a généralement pas la possibilité sur des hébergements de type mutualisé ...

ça fait quoi qu'il soit appelé ? même si on fait un fopen le contenu sera quand même interprété, donc le mot de passe sera invisible, sauf a faire un echo du mot de passe bien sur.
Bon apres si on peut mettre le fichier en dessous de www ça ne se pose plus se genre de question

[julp]

Bon apres si on peut mettre le fichier en dessous de www ça ne se pose plus se genre de question

Vous répondez vous-mêmes à la question. Mais en fait c'est une solution bien plus générique car vous pourriez y placer d'autres fichiers non php/interprété (PDF ou que sais-je) à l'abri de la sorte.