Sécurité et accès à un fichier
le 09/12/2004 à 22:25
Bzh
Bonjours tout le monde !!!
Voila, je me posais juste une question, comme je débute en php et que la je commence à faire des petites choses sympa, je voulais juste savoir au sujet de la sécurité du php... Imaginons un simple répertoire, avec juste deux fichiers:
=>index.php
=>mot_de_passe.txt
Est il possible que quelqu'un est accès au fichier txt sans passer par le ftp et sans kil y est le moindre lien avec les autres pages du site ???
Si il tape au hasard www.tonsite.com/mot_de_passe.txt, oui il pourra le lire.
une petite solution supplémentaire , tu peux toujours stocker dans un fichier .txt mais crypte le avec MD5($password) , $password est la variable contenant ton password , ensuite tu auras un password tout bizarr sur 32 caracteres , ca sera normal !!
Ensuite quand tu te logguera tu fera
if(MD5(POST['pass'])==$password)
{
oki bon pass!
}
POST['pass'] , c'est la variable qui detient le password que tu viens de taper dans ton formulaire de connection et sinon $password est le vrai password avec lequel que tu compares, il est stocker dans ton mot_de_passe.txt !
Voili , Voilou
Ciao,
I am singing in the rain , I am happy again !!
Heu ouais, mais ca ne change pas le probleme : y'aura toujours le fichier texte :)
ui mais du moment que le mdp est crypté et que le lecteur il peut pas connaitre l'original, y'a pas de blem de sécu non ?
Pour moi si, il y'en a un.
Laisser un fichier contenant des mots de passe, meme cryptés, pour moi, il y'a un gros probleme de sécurité.
Mais si on savait à quoi sert ce fichier, on pourrait aider bzh à trouver une vraie solution.
le 10/12/2004 à 13:03
Bzh
Merci
oui mai dans le cas c' était bien un fichier avec les identifiants de connexions et les mots de passes.
Et je les ai bien crypter avec la fonction md5...
C' est pas ça le problème. C' était juste pour savoir si il était possible de le trouver.
D' après ce que j' ai compris la seul façons de le trouver est de tomber dessu par hazar !!! Ok!!!
Mais maintenantn si ils forcent le téléchargement de mon fichier qui test la validité de l' identifiant et du mot de passe. Ils verront le code source et donc l' adresse de mon fichier de mot de passe ? Non ?
Exemple: Mon fichier qui permet de vérifier s' appel: vérification_membres.php
Si ils arrivent à forcer le téléchargement de ce fichier, ils verront dedant :
$listes_mots_de_passes = file("mot_de_passe.txt");
Non ???
Les identifiants de connexion à ta base de données au autres ??
Si oui, place les en clair dans un fichier php.
Exemple :
<?php
define('LOGIN_BD', 'mon_login');
define('PWD_BD', 'mon_password');
?>
Personne ne pourra les lire.
Meme si la personne affiche ton fichier php, rien ne s'affichera à l'écran puisque le fichier ne contient pas d'echo.
Apres, si t'es encore anxieux, place ce fichier derriere un htaccess.
Et meme si "on aspire ton site", ce fichier ne sera jamais vu (un aspirateur de site, c'est juste un truc qui copie le code html des pages html que tes scripts php affichent).
le 10/12/2004 à 13:46
nygma
bien sûr, je suppose qu'il n'y a aucun moyen de lire le code source d'un PHP à part via FTP...?
Si bien sur, si on te pique ton compte FTP, on peut te voler tes identifiants.
Mais expliquer moi comment c'est possible de hacher un login / password en md5 pour faire la connexion à une base de données ??
Perso, je ne vois pas, tout simplement parce que je ne sais pas déhacher du md5.
