Discussion :

[Phach]

salut,

Voila, j'ai une classe de gestion de base de données mysql.
Je stocke les identifiants d'accés à cette BDD dans un fichier XML hors racine du serveur web.
Aucun probleme ca fonctionne trés bien.

J'ai une méthode (getvisitebyid) dans une classe (visite) qui utilise une connexion SQL donc le singleton (qui récupère l'instance de l'objet mysql).

dans ma méthode, je renvoi mon objet (return $this) et si je fais un print_r de cet objet j'obtiens notamment :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
 
[dbTable:private] => ma_table 
[db:private] => mysql Object ( [configXMLFile:private] => E:/configuration_db/cluster_sql.xml 
[dbConfig:private] => Array ( 
   [0] => Array ( 
       [host] => SimpleXMLElement Object ([0] => localhost ) 
       [port] => SimpleXMLElement Object ( ) 
       [user] => SimpleXMLElement Object ( [0] => toto ) 
       [password] => SimpleXMLElement Object ( [0] => le_password ) 
       [db_name] => SimpleXMLElement Object ( [0] => db_toto ) 
   ) 
)

et ca m'a etonné de voir ça et je m'interroge sur la vulnérabilité de ceci.

Qu'en pensez vous ?


( pour la classe mysql je me suis basé sur ce script que j'ai modifié. )

[grunk]

Je vois pas où est le soucis, tu demande un dump de ton objet , tu obtiens donc tout ce qu'il contient , et donc les identifiant sql puisque tu utilise un objet de config.

Si ta question est peuvent il être récupéré ?
C'est oui , mais ça sous entends que la personne aura fait ce que tu viens de faire (implémenter et dumper ton objet). Donc impossible sans accès ftp

[Phach]

Si ta question est peuvent il être récupéré ?
C'est oui , mais ça sous entends que la personne aura fait ce que tu viens de faire (implémenter et dumper ton objet). Donc impossible sans accès ftp

d'accord. c'est ce que je voulais savoir
je fais vachement attention à tout ce qui est injection, etc.
et sur le coup ca m'a surpris de voir tout ça.

merci