Forum Archive-Host

Vous n'êtes pas identifié.

#1 24-02-2014 22:29:22

Eylun
Membre
Date d'inscription: 12-01-2014
Messages: 45
Site web

Sécuriser son fichier de connexion à une base de données

Bonjour, bonsoir !

Décidément amatrice dans le domaine, j'ai cherché sur Internet mais je n'ai pas eu de réponse convenable, aussi, je me permets de poser ma question ici.

Je suis actuellement en train de tenter de sécuriser mon site (Ernelzya, avec une amie, nous sommes deux à gérer ce compte ^^), notamment pour empêcher les injections SQL et HTML. Bon, je suis sûre qu'il y a encore plus que ça à faire, mais je n'ai pas un haut niveau x)

Bref !

J'ai remarqué que l'on pouvait aussi facilement accéder à mes scripts.

Style : http://monsite.com/script_concerne.php

Cela renvoie une erreur, mais cela prouve aussi que ce n'est pas sécurisé. Mais ça, pas de soucis, j'ai mon idée pour cela.

En revanche, là où je bloque, c'est pour le fichier de connexion à la base de données, qui contient donc les identifiants du site. Quand je tape le nom du fichier dans l'url, j'ai une page blanche. Bon, jusque-là, ok, et même si j'ignore comme un hacker pourrait s'y prendre pour pirater sur une page blanche, je sais qu'il existe quand même des brutes de l'informatiques capables de ce genre de prouesse.

J'ai donc cherché sur Internet et...aucune solution n'est convenable. Ils disent chacun qu'il faut trafiquer un certain fichier .htaccess sur le serveur, seulement, j'ai essayé plusieurs solutions, et voilà mon résultat :

Mon site devient carrément inaccessible.

Alors ok, ça fonctionne, mais ça ne répond pas du tout à ce que je recherche. Je voudrais en gros que http://www.ernelzya.com/ soit accessible sans soucis, mais que par exemple http://www.ernelzya.com/nom_du_fichier_de_connexion.php soit impossible à faire.

Et je n'ai toujours pas trouvé. Et comme je suis débutante, je dois admettre que ça, en dépit de mes recherches, ça semble hors de mes compétences hmm

Voilà, en espérant avoir été assez claire, sinon, n'hésitez pas et je tenterai de mieux m'expliquer.

Un grand merci d'avance pour vos lumières !

Dernière modification par Eylun (24-02-2014 22:31:45)

Hors ligne

 

#2 25-02-2014 15:23:27

Cristal
Administrateur
Lieu: Dijon
Date d'inscription: 24-09-2006
Messages: 5072
Site web

Re: Sécuriser son fichier de connexion à une base de données

Bonjour,

A moins d'un accès direct aux fichiers ou d'une faille dans le site (assez spécifique), il y a peu de risques de voir le fichier de connexion à la base de données lisible.

On peut le mettre dans un sous-répertoire avec un nom un peu spéciale ou dans le répertoire du dessus.
Qu'on est accès à la page, en soit même, c'est pas très grave, on pourra pas lire son contenu.

On peut aussi définir une variable globale et mettre en protection les fichiers de configuration, si la variable globale n'existe pas on renvoie une erreur.


Cristal
Directeur d'Archive-Host

État du Reseau

Hors ligne

 

#3 25-02-2014 15:52:23

Eylun
Membre
Date d'inscription: 12-01-2014
Messages: 45
Site web

Re: Sécuriser son fichier de connexion à une base de données

Non, à aucun endroit du site, il n'y a par exemple un "echo $nom de la base" par exemple.

Dans ce fichier, il y a juste les identifiants de connexion, qui est ensuite inclus sur toutes les autres pages. Après, je ne sais pas si ça répond réellement à votre première phrase, je ne pense pas avoir suffisamment de connaissances dans ce domaine pour le dire, désolée d'avance hmm

Disons que j'ai entendu parler des injections SQL, qui pouvaient donc se faire via des variables url (que j'ai donc corrigé), des formulaires, ou par divers moyens. J'ai voulu me renseigner un peu plus sur ces techniques (surtout pour pouvoir les contrer, justement, je ne tiens pas à ce que tout notre travail avec Ange Krystaleen soit foutu en l'air à cause de ce genre de chose qui peut arriver extrêmement vite), et j'ai plus ou moins vu que ouais, si on tombe même sur des pages blanches ou avec des erreurs php du genre "Call a membre fonction fetch on a non-objet..." (un truc comme ça), c'était une faille qui pouvait permettre au hacker de pirater des données ^^' (même si je ne sais pas vraiment comment, à vrai dire, je m'intéresse plus à contrer ce genre de manipulation que d'en faire, sincèrement, ça me dégoûte assez comme ça ce genre de pratique).

Pour cela aussi qu'au niveau de l'accès à la base de données, j'avoue que je place ma confiance en votre équipe, vous avez un bien plus haut niveau, et en toute logique, je me dis que vous avez protégé l'accès à vos serveurs en fonction (en apprenant le PHP, on m'a aussi montré comment on était capable de pirater une bdd, d'où le fait que j'ai accordé pas mal d'importance à protéger le site contre des injections SQL).

En revanche, je n'ai pas très bien compris votre dernière phrase, je pense manquer de connaissances pour la comprendre, désolée hmm Pourtant, je suis sûre que ça serait justement la solution que je cherche ^^'

Désolée pour le dérangement hmm

EDIT :

Je viens de voir sur le net qu'effectivement, ce n'était pas très grave, enfin, je ne regrette pas non-plus d'avoir fait ce sujet pour demander, car peut-être pourra-t-il prévenir d'autres personnes sur ce genre de faille. Mais bon, si jamais vous avez une solution quand même, je suis preneuse !

Dernière modification par Eylun (25-02-2014 16:05:07)

Hors ligne

 

#4 27-02-2014 14:15:59

Cristal
Administrateur
Lieu: Dijon
Date d'inscription: 24-09-2006
Messages: 5072
Site web

Re: Sécuriser son fichier de connexion à une base de données

Bonjour,

Pour les injections SQL, toujours vérifier les données récupérées et leur type.
Après, il faut lire quelques articles sur la sécurité d'une application.

Pour ma dernière phrase, sur le fichier maître du site vous définissez une variable globale.
Les autres fichiers du sites sont inclus (comme le fichier de connexion à la BDD).
Pour les fichiers à inclure vous vérifiez l'existence de la variable globale, si elle n'y est pas, message d'erreur et exit;
Il existe beaucoup de techniques.


Cristal
Directeur d'Archive-Host

État du Reseau

Hors ligne

 

#5 28-02-2014 01:09:58

Eylun
Membre
Date d'inscription: 12-01-2014
Messages: 45
Site web

Re: Sécuriser son fichier de connexion à une base de données

Merci beaucoup pour votre réponse, je vais essayer de me dégager du temps quand je pourrai pour étudier tout ça de plus près ^^

Hors ligne

 

Pied de page des forums

Propulsé par FluxBB
Traduction par FluxBB.fr