Forum Clubic

Securité base de données PHP

Bonjour,
J’ai créé un site sur Multimamia, pour lequel j’utilise l’outil base de données PHP4U. Je souhaiterais savoir si quelqu’un qui visite mon site et qui s’y connait peut accéder aux infos contenues dans cette base de données, et si oui, comment la protéger ?

Je précise que lorsque je consulte les parametres de mon compte sur le site, je vois entre autres cela :

Your dateabase information
Name: ***_db
Username: ***
Password: no password needed -----> me semble douteux

(j’ai remplacé mes infos par des etoiles). Donc est-ce que ca veut dire que n’iimporte qui peut voir ce que contient ma base de données ? Le site dispose du plus mauvais centre d’aide que j’ai jamais vu… et je ne trouve pas la reponse par moi meme. Merci de votre attention…

Ca me semble aussi douteux le fait que ta base de donnée ne soit pas protégée par mot de passe.
Lors de la connexion à ta base avec php tu n’utilises pas de mot de passe je suppose?

Après peut-être que la vérité sécurité est ailleurs, genre un pré-login auparavant, ou un filtrage d’ip, mais ça m’étonnerait tout de même.

Au pire, change de serveur :slight_smile:

Déjà c’est une version modifiée de php4, ensuite c’est justement sur ça que ça joue je crois.

Essaye toujours le mot de passe de ton FTP (en général c’est ça).

Il me semble que chez multimania, le seul moyen de se connecter à la base de données est avec l’adresse “localhost”, donc ça devrait être impossible d’y accéder de l’extérieur.

Je veux bien qu’il y ait un filtrage des connections distantes, mais ça voudrait dire que n’importe quel utilisateur de multimania s’il connait le nom de la base, et le nom de l’utilisateur, à condition qu’il soit sur le même serveur, peut accéder aux informations des autres?

je pense que oui, mais il doit surement y avoir un moyen de mettre un mot de passe, meme s’il n’y en a pas par défaut.

Comme je viens de le dire, il s’agit d’une version modifiée de mySQL. La connexion doit se faire de manière spécifique, et je suppose également que multimania a songé à cette faille :slight_smile:

En fait dans ce cas là ton utilisateur n’est autorisé à se conneter qu’en local, quand la base de données reçoit une tentative de connexion elle regarde d’ou ça vient et si ça ne viens pas d’une de tes pages elle refuse la connexion. Ils peuvent le faire puisqu’ils contrôlent tout la chaine: serveur web, php et Mysql.

Le vrai risque c’est que si quelqu’un arrive à déposer un script php sur ton site il peut avoir accès au contenu de ta base juste en connaissant ton nom d’utilisateur. Donc faire trés attention si ton site permet l’upload de fichiers par les utilisateurs.