Forum Archive-Host
Vous n'êtes pas identifié.
Pages: 1
- Accueil forums
- » [Web] Questions Techniques & Commerciales
- » Sécuriser son fichier de connexion à une base de données
#1 24-02-2014 22:29:22
Sécuriser son fichier de connexion à une base de données
Bonjour, bonsoir !
Décidément amatrice dans le domaine, j'ai cherché sur Internet mais je n'ai pas eu de réponse convenable, aussi, je me permets de poser ma question ici.
Je suis actuellement en train de tenter de sécuriser mon site (Ernelzya, avec une amie, nous sommes deux à gérer ce compte ^^), notamment pour empêcher les injections SQL et HTML. Bon, je suis sûre qu'il y a encore plus que ça à faire, mais je n'ai pas un haut niveau x)
Bref !
J'ai remarqué que l'on pouvait aussi facilement accéder à mes scripts.
Style : http://monsite.com/script_concerne.php
Cela renvoie une erreur, mais cela prouve aussi que ce n'est pas sécurisé. Mais ça, pas de soucis, j'ai mon idée pour cela.
En revanche, là où je bloque, c'est pour le fichier de connexion à la base de données, qui contient donc les identifiants du site. Quand je tape le nom du fichier dans l'url, j'ai une page blanche. Bon, jusque-là, ok, et même si j'ignore comme un hacker pourrait s'y prendre pour pirater sur une page blanche, je sais qu'il existe quand même des brutes de l'informatiques capables de ce genre de prouesse.
J'ai donc cherché sur Internet et...aucune solution n'est convenable. Ils disent chacun qu'il faut trafiquer un certain fichier .htaccess sur le serveur, seulement, j'ai essayé plusieurs solutions, et voilà mon résultat :
Mon site devient carrément inaccessible.
Alors ok, ça fonctionne, mais ça ne répond pas du tout à ce que je recherche. Je voudrais en gros que http://www.ernelzya.com/ soit accessible sans soucis, mais que par exemple http://www.ernelzya.com/nom_du_fichier_de_connexion.php soit impossible à faire.
Et je n'ai toujours pas trouvé. Et comme je suis débutante, je dois admettre que ça, en dépit de mes recherches, ça semble hors de mes compétences 
Voilà, en espérant avoir été assez claire, sinon, n'hésitez pas et je tenterai de mieux m'expliquer.
Un grand merci d'avance pour vos lumières !
Dernière modification par Eylun (24-02-2014 22:31:45)
Hors ligne
#2 25-02-2014 15:23:27
Re: Sécuriser son fichier de connexion à une base de données
Bonjour,
A moins d'un accès direct aux fichiers ou d'une faille dans le site (assez spécifique), il y a peu de risques de voir le fichier de connexion à la base de données lisible.
On peut le mettre dans un sous-répertoire avec un nom un peu spéciale ou dans le répertoire du dessus.
Qu'on est accès à la page, en soit même, c'est pas très grave, on pourra pas lire son contenu.
On peut aussi définir une variable globale et mettre en protection les fichiers de configuration, si la variable globale n'existe pas on renvoie une erreur.
Hors ligne
#3 25-02-2014 15:52:23
Re: Sécuriser son fichier de connexion à une base de données
Non, à aucun endroit du site, il n'y a par exemple un "echo $nom de la base" par exemple.
Dans ce fichier, il y a juste les identifiants de connexion, qui est ensuite inclus sur toutes les autres pages. Après, je ne sais pas si ça répond réellement à votre première phrase, je ne pense pas avoir suffisamment de connaissances dans ce domaine pour le dire, désolée d'avance
Disons que j'ai entendu parler des injections SQL, qui pouvaient donc se faire via des variables url (que j'ai donc corrigé), des formulaires, ou par divers moyens. J'ai voulu me renseigner un peu plus sur ces techniques (surtout pour pouvoir les contrer, justement, je ne tiens pas à ce que tout notre travail avec Ange Krystaleen soit foutu en l'air à cause de ce genre de chose qui peut arriver extrêmement vite), et j'ai plus ou moins vu que ouais, si on tombe même sur des pages blanches ou avec des erreurs php du genre "Call a membre fonction fetch on a non-objet..." (un truc comme ça), c'était une faille qui pouvait permettre au hacker de pirater des données ^^' (même si je ne sais pas vraiment comment, à vrai dire, je m'intéresse plus à contrer ce genre de manipulation que d'en faire, sincèrement, ça me dégoûte assez comme ça ce genre de pratique).
Pour cela aussi qu'au niveau de l'accès à la base de données, j'avoue que je place ma confiance en votre équipe, vous avez un bien plus haut niveau, et en toute logique, je me dis que vous avez protégé l'accès à vos serveurs en fonction (en apprenant le PHP, on m'a aussi montré comment on était capable de pirater une bdd, d'où le fait que j'ai accordé pas mal d'importance à protéger le site contre des injections SQL).
En revanche, je n'ai pas très bien compris votre dernière phrase, je pense manquer de connaissances pour la comprendre, désolée Pourtant, je suis sûre que ça serait justement la solution que je cherche ^^'
Désolée pour le dérangement
EDIT :
Je viens de voir sur le net qu'effectivement, ce n'était pas très grave, enfin, je ne regrette pas non-plus d'avoir fait ce sujet pour demander, car peut-être pourra-t-il prévenir d'autres personnes sur ce genre de faille. Mais bon, si jamais vous avez une solution quand même, je suis preneuse !
Dernière modification par Eylun (25-02-2014 16:05:07)
Hors ligne
#4 27-02-2014 14:15:59
Re: Sécuriser son fichier de connexion à une base de données
Bonjour,
Pour les injections SQL, toujours vérifier les données récupérées et leur type.
Après, il faut lire quelques articles sur la sécurité d'une application.
Pour ma dernière phrase, sur le fichier maître du site vous définissez une variable globale.
Les autres fichiers du sites sont inclus (comme le fichier de connexion à la BDD).
Pour les fichiers à inclure vous vérifiez l'existence de la variable globale, si elle n'y est pas, message d'erreur et exit;
Il existe beaucoup de techniques.
Hors ligne
Pages: 1
- Accueil forums
- » [Web] Questions Techniques & Commerciales
- » Sécuriser son fichier de connexion à une base de données