Discussion :

[SamDaKap]

Bonjour,
jusqu'à présent, dans mes sites, je faisais toujours un fichier config.php qui contenait les codes d'accès à la BDD Mysql. Cela me permettait de les changer dans un seul fichier.
Il y a peu, je me suis fais pirater mon compte chez free (par Jok3r.dll ou un truc comme ça) et je soupçonne ma méthode d'accès à ma base de donnée d'en être responsable.
Il a pu accéder à mon ftp (puisque le mdp sql et ftp sont les même) et mettre ses fichiers.
Qu'en pensez-vous ?

Merci.

[zouip]

C'est effectivement une piste.
Le référencement des identifiants de connexion à mysql dans un fichier php ne pose pas de problème de sécurité à moins qu'il existe une faille dans un script php quelconque. Tout dépend de ce que tu as codé à coté...

[Alain Defrance]

Si il a la bdd , il a ton site automatiquement !

Pas forcement. Il est vrais que la sécurité est une longue chaine et si un maillon est cassé (et on sais comme le SGBD est un gros maillon), tout est unsécure.

Cependant en ayant deux mot de passes différents par exemple, on peut raser ta base, on poura pas pour autant avoir acces aux parties privé et securisé du site (a moins de bruteforcer les éventuels mot de passe hashé en MD5, et en considérant que la sécurité est relativement bien concue).

Attention il est rare de perdre sa sécu par le SGBD, si un éventuel hacker arrive a récupérer ton mot de passe de base de donnée, les 3/4 du temps il passera par des faille applicative.