Mot de passe dans une page PHPRésolu

Question

Bonjour à tous, :)

Je viens de lire plusieurs articles sur le codage des mots de passe en PHP, et notamment en utilisant les fonctions password_hash() et password_verify()  (PHP 5.5 mini). J'ai compris le principe de fonctionnement pour vérifier un mot de passe saisie dans un formulaire, par rapport à celui contenu dans une base de données.

Là où subsiste le flou pour moi c'est :
 * Pour se connecter à la base de donnée SQL, il faut saisir dans le code PHP le mot de passe SQL.
 * Si je ne veux pas utiliser une base de données pour stocker les mots de passe, mais vérifier directement dans le code PHP le mot de passe récupéré d'un formulaire (dans le cas où je n'ai qu'un seul utilisateur).

Ces 2 cas pose en fait le même problème : l'écriture du mot de passe directement dans le code PHP. Est-ce que c'est risqué ? Si on peut attaquer une base de données, je suppose qu'on peut aussi attaquer une page PHP pour en récupérer le mot de passe non ?
Donc, comment procéder en sécurité pour ces deux cas d'utilisation ?

Merci d'avance :)

NHenry · Answer

si c'est juste pour une page et un seul utilisateur, mettre le mdp en clair (si les données protégées ne sont pas critiques) et faire un simple test d'égalité est acceptable.
Si tu as plusieurs utilisateurs, il est préférable de mettre en place une base de données (même sous forme de fichier) avec des mdp hashés.

yoanpg · Answer

Il n'est donc pas risqué d'écrire en clair le mot de passe dans une page PHP ?
De même pour une connexion SQL :
$db = mysql_connect('localhost', 'login', 'password'); 

Merci :)

Mot de passe dans une page PHP

2 réponses

Votre réponse