comment securirisé une BD?

Question

Mon problème est simple , j'ai une une page php qui utilise une autre page php avec un include et celle la en utilise une autre avec un include d'une page php qui elle contient toutes les informations pour se connecter à la base de donnée.

Est ce securisé ? 
Pour verifié ceci, j'ai fais une petite recherche sur le net.. rien trouvé !

Alors j'attend vos réponses, si vous trouvé merci de me dire comment améliorer la secrurité !!!

Lionceau,

syndrael · Answer

Tu peux paramètrer MySQL pour ne répondre qu'à ton serveur Web par restriction d'IP. A partir de là, cela me semble être bien sécurisé. A quoi penses tu comme 'menace' ??
S.

lionceau79 · Answer

Moi j'ai peur qu'il accede à connexionLogin.php et lise les infos secretes

Pour y voir plus clair je te montre le source regarde :

dans ma page :  connexionLogin.php
$hostname_connexionLogin = "ddddddd";                 //adresse de la base de donnée
$username_connexionLogin = "ccccccccc";                         //nom d'utilisateur
$password_connexionLogin = "bbbbbbbbbb";                       //mot de passe de l'utilisateur
$database_connexionLogin = "aaaaaaa";                         //nom de la base de donnée

dans ma page : gererclient.php
require_once('connexionLogin.php');




if(!mysql_connect($hostname_connexionLogin, $username_connexionLogin, $password_connexionLogin))
{
 //echo "Impossible de se connecter à la base de données : " . mysql_error();
  echo "vous vous étes deconnecteé ou avez quitté la page donc merci de vous reconnecter(vous rerentrez mot de passe et login)  et si vous rencontrez un problème merci de contacter Gael Mathis";
 exit;
}


if (!mysql_select_db($database_connexionLogin)) {
 //  echo "Impossible de sélectionner la base ".$database_connexionLogin." : " . mysql_error();
 echo "vous vous étes deconnecteé ou avez quitté la page donc merci de vous reconnecter(vous rerentrez mot de passe et login)  et si vous rencontrez un problème merci de contacter Gael Mathis";
 
   exit;
}

Lionceau,

syndrael · Answer

En tout cas s'il passe par le serveur Web.. donc Apache ou autre.. le serveur va retranscrire la page PHP en HTML donc rien de lisible.
De plus, il faudrait aussi connaitre le nom du fichier et l'emplacement.. De plus, si vraiment tu as peur, tu peux soit:
- sortir le répertoire de la racine web du site (PHP peut y accéder encore)
- protéger le répertoire via un .htaccess sous Apache.
Ca te convient ? si oui, n'hesite pas à cocher Réponse Acceptée pour aider tout le monde.
S.

lionceau79 · Answer

Je suis pas sur que ca me conviens car : "htttrack" et "web site riper copier" et "intellitamper" sont 3 sortes d'aspirateurs de site, 

Et theoriquement avec un aspiraeur (de site) on peut prendre tous les fichiers du serveur ..

Donc c 'est d'ici que part mon inquietude.. j'ai pas envie qu'on télécharge mon fichier avec le password..

Qu'en penses tu ?

Lionceau,

syndrael · Answer

Non, car un aspirateur passe par le serveur Web, en cherchant tous les liens présents dans une page. Donc on reste sur des pages HTML.
S.

lionceau79 · Answer

Bonjour, 

Avec un snifer reseau genre wireshark, est ce possible?

Lionceau,

Bling 182 · Answer

Oui, mais il faudrait etre sur le meme réseau que ton serveur et ta base de données.
Si c'est sur le meme PC, mets en IP du serveur de BDD 127.0.0.1 comme ca ca passe par la boucle locale, et faudrait que le wireshark soit sur le meme PC pour voir quelque chose.

TychoBrahe · Answer

Salut,

Comme dit plus tu n'as pas a craindre que l'utilisateur récupère ton code php par un aspirateur de site ou tout autre truc du genre, ceci relève de la configuration du serveur, chose qui n'a rien a voir avec ton code.

S'il y a une chose que tu dois craindre vraiment, ce sont les injections de SQL et autres détournements de ton code. Ce type d'attaque est très répandu et simplissime a mettre en oeuvre si le développeur n'as pas pris de précaution. Pour plus d'informations, je te renvoie sur le documentation PHP ainsi qu'au posts de ce sujet où j'ai mis un exemple d'une injection assez marante.

syndrael · Answer

J'espère qu'avec tous ces avis tu es un peu rassuré non ??
S.

lionceau79 · Answer

le serveur sql n'est pas sur ma machine. Mais sur un serveur FTP/SQL gratuit( pour ne pas le cité http://comoj.com/http://www.comoj.com ).

il y a quleque chose que je n'ai pas compris, qu'est ce une injection sql?

http://fr3.php.net/manual/fr/security.database.sql-injection.php
Cette page nous explique qu'en modifiant le code de la page php on peut afficher et modifier ce qu'on desire..
 
MAIS it is impossible car pour pouvoir télécharger la page php et modfier la requete sql il faut avoir les acces ftp du serveur , 

Bien entendus, ce que je dis n'est peux étre pas vrai(=je me trompe), c 'est pour cela que j'attend vos réponses

Merci encore,

Lionceau,

TychoBrahe · Answer

Salut,

Tu n'as pas vraiment compris le principe, le but d'une injection de SQL est de détourner ton code de son usage normal. L'attaquant ne modifie rien dans ton code, il ne fait que l'utiliser d'une manière que tu n'as pas prévu afin d'en sortir des infos auxquelles que tu ne veux pas qu'il ai accès. Essaye de faire tourner l'exemple que j'ai mis, il est innofensif et te montre bien le danger.

Sinon l'injection de SQL n'est pas la seule chose en son genre, en fonction des situations on peux injecter pas mal de saletés.

lionceau79 · Answer

"L'injection SQL directe est une technique où un pirate modifie une requête SQL existante pour afficher des données "
"Cela se fait lorsque l'application prend les données envoyées par l'internaute, "

Moi j'ai plusieur formulaire dans ma page php donc des requete d'affichage et modification et un menu pour supression ligne , mais je ne comprend pas comment modifié les données envoyé par l'internaute.
Explique ? 

Lionceau,

kohntark · Answer

Salut,

Sans vouloir présumer de la qualité des réponses qui peuvent t'être faite, tu  trouveras sur internet des centaines d'articles sur ces problèmes, bien plus complets que ce qui pourra t'être donné ici. La question est très vaste et souvent complexe.
Cherche donc "injection SQL", "injection header mail", "mysql_real_escape_string", "PDO prepare", "strip_tags", "addslashes", ...

Cordialement,

Kohntark -

lionceau79 · Answer

Bonjour, 
oui j'ai tout regardé , et j'ai vu sur yootube comment faire les sql injection, mais c 'est du bidouillage c'est pas du vrai hacking rire. Moi je pensais que tu trouvais un moyen pour envoyé une fausse requete au serveur ! mais en fait non ... on modifie juste les variables post par exemple,

Moi j'utilise du post et du cession (j'ai fais ca inconsciament mais pas forcément pour avoir la meilleur sécurité),  on peut pas faire cette methode en touchant aux variables cessions ? est ce possible de modifier ou creer une variable cession??

Lionceau,

TychoBrahe · Answer

Salut,

«mais c 'est du bidouillage c'est pas du vrai hacking rire»
Tout "hacking" comme tu dit n'est que du bidouillage, après c'est plus ou moins simple a mettre en place. Les injection de SQL sont très simple à mettre en place et peuvent avoir des conséquences dramatiques, c'est pour celà qu'il faut y faire extrèmement attention. Ce n'est pas pour rien qu'on les retrouve dans le top 25 des failles recensées par la NSA.

lionceau79 · Answer

je rigolais , quand je disais «mais c 'est du bidouillage c'est pas du vrai hacking rire»
car hack = bidouiller en francais!!!
^^
Merci pour le lien,
Pour mon site je vois 3 attaques reelement embetante : 1 écouter le serveur et voir tout le monde se connecter dessus avec leur password et login,  et 2 la mehode brutus  ! 3 un spyware qui enregistre les variable cession...

quelqu'un voit d'autre attaque possible? est ce que la 3 est vraiment possible?

Lionceau,

syndrael · Answer

Perso le mode Brutus c'est quoi ?? Du brut force ?? Mais sur quelles données ?? Connexion à ton MySQL ? Pas possible si tu dis à ton MySQL de ne dialoguer qu'avec ton serveur PHP. La plupart des 'hacks' viennent du laxisme de ceux qui ont implémenté les architectures..
S.

lionceau79 · Answer

Ok je pense que le sujet/ma question est répondus, 
Alors, le seul moyen de vraiment m'embetter est d'écouter le serveur.

Lionceau,

Comment securirisé une BD?

18 réponses

Votre réponse

Discussions similaires