Comment securirisé une BD?

lionceau79
Messages postés
49
Date d'inscription
dimanche 24 août 2008
Statut
Membre
Dernière intervention
15 juillet 2009
- 4 juil. 2009 à 15:38
lionceau79
Messages postés
49
Date d'inscription
dimanche 24 août 2008
Statut
Membre
Dernière intervention
15 juillet 2009
- 15 juil. 2009 à 13:16
Mon problème est simple , j'ai une une page php qui utilise une autre page php avec un include et celle la en utilise une autre avec un include d'une page php qui elle contient toutes les informations pour se connecter à la base de donnée.

Est ce securisé ?
Pour verifié ceci, j'ai fais une petite recherche sur le net.. rien trouvé !

Alors j'attend vos réponses, si vous trouvé merci de me dire comment améliorer la secrurité !!!

Lionceau,

18 réponses

syndrael
Messages postés
2378
Date d'inscription
lundi 4 février 2002
Statut
Membre
Dernière intervention
29 décembre 2012
19
4 juil. 2009 à 16:25
Tu peux paramètrer MySQL pour ne répondre qu'à ton serveur Web par restriction d'IP. A partir de là, cela me semble être bien sécurisé. A quoi penses tu comme 'menace' ??
S.
0
lionceau79
Messages postés
49
Date d'inscription
dimanche 24 août 2008
Statut
Membre
Dernière intervention
15 juillet 2009

4 juil. 2009 à 16:43
Moi j'ai peur qu'il accede à connexionLogin.php et lise les infos secretes

Pour y voir plus clair je te montre le source regarde :

dans ma page :  connexionLogin.php
$hostname_connexionLogin = "ddddddd";                 //adresse de la base de donnée
$username_connexionLogin = "ccccccccc";                         //nom d'utilisateur
$password_connexionLogin = "bbbbbbbbbb";                       //mot de passe de l'utilisateur
$database_connexionLogin = "aaaaaaa";                         //nom de la base de donnée

dans ma page : gererclient.php
require_once('connexionLogin.php');




if(!mysql_connect($hostname_connexionLogin, $username_connexionLogin, $password_connexionLogin))
{
 //echo "Impossible de se connecter à la base de données : " . mysql_error();
  echo "vous vous étes deconnecteé ou avez quitté la page donc merci de vous reconnecter(vous rerentrez mot de passe et login)  et si vous rencontrez un problème merci de contacter Gael Mathis";
 exit;
}


if (!mysql_select_db($database_connexionLogin)) {
 //  echo "Impossible de sélectionner la base ".$database_connexionLogin." : " . mysql_error();
 echo "vous vous étes deconnecteé ou avez quitté la page donc merci de vous reconnecter(vous rerentrez mot de passe et login)  et si vous rencontrez un problème merci de contacter Gael Mathis";
 
   exit;
}

Lionceau,
0
syndrael
Messages postés
2378
Date d'inscription
lundi 4 février 2002
Statut
Membre
Dernière intervention
29 décembre 2012
19
4 juil. 2009 à 18:54
En tout cas s'il passe par le serveur Web.. donc Apache ou autre.. le serveur va retranscrire la page PHP en HTML donc rien de lisible.
De plus, il faudrait aussi connaitre le nom du fichier et l'emplacement.. De plus, si vraiment tu as peur, tu peux soit:
- sortir le répertoire de la racine web du site (PHP peut y accéder encore)
- protéger le répertoire via un .htaccess sous Apache.
Ca te convient ? si oui, n'hesite pas à cocher Réponse Acceptée pour aider tout le monde.
S.
0
lionceau79
Messages postés
49
Date d'inscription
dimanche 24 août 2008
Statut
Membre
Dernière intervention
15 juillet 2009

4 juil. 2009 à 21:39
Je suis pas sur que ca me conviens car : "htttrack" et "web site riper copier" et "intellitamper" sont 3 sortes d'aspirateurs de site,

Et theoriquement avec un aspiraeur (de site) on peut prendre tous les fichiers du serveur ..

Donc c 'est d'ici que part mon inquietude.. j'ai pas envie qu'on télécharge mon fichier avec le password..

Qu'en penses tu ?

Lionceau,
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
syndrael
Messages postés
2378
Date d'inscription
lundi 4 février 2002
Statut
Membre
Dernière intervention
29 décembre 2012
19
4 juil. 2009 à 22:34
Non, car un aspirateur passe par le serveur Web, en cherchant tous les liens présents dans une page. Donc on reste sur des pages HTML.
S.
0
lionceau79
Messages postés
49
Date d'inscription
dimanche 24 août 2008
Statut
Membre
Dernière intervention
15 juillet 2009

5 juil. 2009 à 10:40
Bonjour,

Avec un snifer reseau genre wireshark, est ce possible?

Lionceau,
0
Bling 182
Messages postés
510
Date d'inscription
lundi 27 novembre 2006
Statut
Membre
Dernière intervention
5 juillet 2009
3
5 juil. 2009 à 11:26
Oui, mais il faudrait etre sur le meme réseau que ton serveur et ta base de données.
Si c'est sur le meme PC, mets en IP du serveur de BDD 127.0.0.1 comme ca ca passe par la boucle locale, et faudrait que le wireshark soit sur le meme PC pour voir quelque chose.
0
TychoBrahe
Messages postés
1309
Date d'inscription
samedi 31 janvier 2009
Statut
Membre
Dernière intervention
5 juin 2013
12
5 juil. 2009 à 12:21
Salut,

Comme dit plus tu n'as pas a craindre que l'utilisateur récupère ton code php par un aspirateur de site ou tout autre truc du genre, ceci relève de la configuration du serveur, chose qui n'a rien a voir avec ton code.

S'il y a une chose que tu dois craindre vraiment, ce sont les injections de SQL et autres détournements de ton code. Ce type d'attaque est très répandu et simplissime a mettre en oeuvre si le développeur n'as pas pris de précaution. Pour plus d'informations, je te renvoie sur le documentation PHP ainsi qu'au posts de ce sujet où j'ai mis un exemple d'une injection assez marante.
0
syndrael
Messages postés
2378
Date d'inscription
lundi 4 février 2002
Statut
Membre
Dernière intervention
29 décembre 2012
19
5 juil. 2009 à 12:28
J'espère qu'avec tous ces avis tu es un peu rassuré non ??
S.
0
lionceau79
Messages postés
49
Date d'inscription
dimanche 24 août 2008
Statut
Membre
Dernière intervention
15 juillet 2009

5 juil. 2009 à 12:48
le serveur sql n'est pas sur ma machine. Mais sur un serveur FTP/SQL gratuit( pour ne pas le cité http://comoj.com/http://www.comoj.com ).

il y a quleque chose que je n'ai pas compris, qu'est ce une injection sql?

http://fr3.php.net/manual/fr/security.database.sql-injection.php
Cette page nous explique qu'en modifiant le code de la page php on peut afficher et modifier ce qu'on desire..
 
MAIS it is impossible car pour pouvoir télécharger la page php et modfier la requete sql il faut avoir les acces ftp du serveur ,

Bien entendus, ce que je dis n'est peux étre pas vrai(=je me trompe), c 'est pour cela que j'attend vos réponses

Merci encore,

Lionceau,
0
TychoBrahe
Messages postés
1309
Date d'inscription
samedi 31 janvier 2009
Statut
Membre
Dernière intervention
5 juin 2013
12
5 juil. 2009 à 13:04
Salut,

Tu n'as pas vraiment compris le principe, le but d'une injection de SQL est de détourner ton code de son usage normal. L'attaquant ne modifie rien dans ton code, il ne fait que l'utiliser d'une manière que tu n'as pas prévu afin d'en sortir des infos auxquelles que tu ne veux pas qu'il ai accès. Essaye de faire tourner l'exemple que j'ai mis, il est innofensif et te montre bien le danger.

Sinon l'injection de SQL n'est pas la seule chose en son genre, en fonction des situations on peux injecter pas mal de saletés.
0
lionceau79
Messages postés
49
Date d'inscription
dimanche 24 août 2008
Statut
Membre
Dernière intervention
15 juillet 2009

5 juil. 2009 à 15:06
"L'injection SQL directe est une technique où un pirate modifie une requête SQL existante pour afficher des données "
"Cela se fait lorsque l'application prend les données envoyées par l'internaute, "

Moi j'ai plusieur formulaire dans ma page php donc des requete d'affichage et modification et un menu pour supression ligne , mais je ne comprend pas comment modifié les données envoyé par l'internaute.
Explique ?

Lionceau,
0
kohntark
Messages postés
3706
Date d'inscription
lundi 5 juillet 2004
Statut
Membre
Dernière intervention
27 avril 2012
30
6 juil. 2009 à 20:11
Salut,

Sans vouloir présumer de la qualité des réponses qui peuvent t'être faite, tu  trouveras sur internet des centaines d'articles sur ces problèmes, bien plus complets que ce qui pourra t'être donné ici. La question est très vaste et souvent complexe.
Cherche donc "injection SQL", "injection header mail", "mysql_real_escape_string", "PDO prepare", "strip_tags", "addslashes", ...

Cordialement,

Kohntark -
0
lionceau79
Messages postés
49
Date d'inscription
dimanche 24 août 2008
Statut
Membre
Dernière intervention
15 juillet 2009

10 juil. 2009 à 14:05
Bonjour,
oui j'ai tout regardé , et j'ai vu sur yootube comment faire les sql injection, mais c 'est du bidouillage c'est pas du vrai hacking rire. Moi je pensais que tu trouvais un moyen pour envoyé une fausse requete au serveur ! mais en fait non ... on modifie juste les variables post par exemple,

Moi j'utilise du post et du cession (j'ai fais ca inconsciament mais pas forcément pour avoir la meilleur sécurité),  on peut pas faire cette methode en touchant aux variables cessions ? est ce possible de modifier ou creer une variable cession??

Lionceau,
0
TychoBrahe
Messages postés
1309
Date d'inscription
samedi 31 janvier 2009
Statut
Membre
Dernière intervention
5 juin 2013
12
10 juil. 2009 à 15:44
Salut,

«mais c 'est du bidouillage c'est pas du vrai hacking rire»
Tout "hacking" comme tu dit n'est que du bidouillage, après c'est plus ou moins simple a mettre en place. Les injection de SQL sont très simple à mettre en place et peuvent avoir des conséquences dramatiques, c'est pour celà qu'il faut y faire extrèmement attention. Ce n'est pas pour rien qu'on les retrouve dans le top 25 des failles recensées par la NSA.
0
lionceau79
Messages postés
49
Date d'inscription
dimanche 24 août 2008
Statut
Membre
Dernière intervention
15 juillet 2009

10 juil. 2009 à 17:03
je rigolais , quand je disais «mais c 'est du bidouillage c'est pas du vrai hacking rire»
car hack = bidouiller en francais!!!
^^
Merci pour le lien,
Pour mon site je vois 3 attaques reelement embetante : 1 écouter le serveur et voir tout le monde se connecter dessus avec leur password et login,  et 2 la mehode brutus  ! 3 un spyware qui enregistre les variable cession...

quelqu'un voit d'autre attaque possible? est ce que la 3 est vraiment possible?

Lionceau,
0
syndrael
Messages postés
2378
Date d'inscription
lundi 4 février 2002
Statut
Membre
Dernière intervention
29 décembre 2012
19
14 juil. 2009 à 15:52
Perso le mode Brutus c'est quoi ?? Du brut force ?? Mais sur quelles données ?? Connexion à ton MySQL ? Pas possible si tu dis à ton MySQL de ne dialoguer qu'avec ton serveur PHP. La plupart des 'hacks' viennent du laxisme de ceux qui ont implémenté les architectures..
S.
0
lionceau79
Messages postés
49
Date d'inscription
dimanche 24 août 2008
Statut
Membre
Dernière intervention
15 juillet 2009

15 juil. 2009 à 13:16
Ok je pense que le sujet/ma question est répondus,
Alors, le seul moyen de vraiment m'embetter est d'écouter le serveur.

Lionceau,
0