Forum Clubic

Sécurité d'un site : est-ce sûre? - site commercial

Je dois créer un site commercial en php/mysql et question sécurité je n’ai pas le droit à l’erreur. Pour l’accès au paramètre de la base de donnée (login et mot de passe) j’ai tout stocké dans un fichier que j’ai appelé secure.fic. Dès qu’il faut acceder à la base, j’ai un script qui lit les identifiants dans ce fichier.

Première question : est-ce que ce système est sécurisé?

J’ai créer une petite interface d’administration. Rien de bien compliqué, l’admin affiche la liste des devis en cours de la societé, et l’on peut consulter les devis et supprimer ceux qui ont été traités. Là idem, l’admin rentre son login + mot de passe (tout les formulaires sont en methode POST) et pour se connecter à la base, faire les vérifs etc… j’utilise toujours mon fichier secure.fic avec mon script php de connexion.

Est-ce suffisament sécurisé. Je ne gère pas de transaction financière en ligne mais la sécurité des informations des clients est primordiale.

Merci pour vos réponses…

PS: je suis débutant :ane:

Bof bof…

Ton secure.fic n’est pas crypté -1
Ton secure.fic est peut être accessible depuis l’exterieur -1
methode POST +1

Bref je serais toi je ferai un .htaccess + .htpasswd ça sera déja mieux :wink:

Petit tuto htaccess

+1 :slight_smile:

Par contre, je sais bien qu’il faut bien commencer par quelque chose, mais se lancer dans un site commercial en étant débutant, c’est peut-être aller au devant de gros soucis… après tout dépend ce qu’on entend par “commercial” et “débutant”. :ane:

Mais j’espère que tu connais les bases de la sécurité, parce qu’en PHP t’as vite fait de laisser de grosses failles. :wink:

+1 pour le .htaccess + .htpasswd …

sinon fait en sorte que ton fichier secure.fic ne soit accessible en lecture sur le serveur que par les utilisateurs en ayant besoin (c’est à dire normalement uniquement l’utilisateur qui fait tourner le process PHP) et en écriture uniquement à ceux qui doivent le modifier (c’est à dire toi) …
si tu continue dans cette voie, rajoutes au moins un .htaccess pour interdire tout accès à ce fichier depuis l’extérieur (Order Allow,Deny) …
pour le cryptage, bah de toute façon faudras le décrypter, donc ça feras un jolie +1-1 :paf: … à moins d’utiliser une “binarisation” du fichier source, comme avec Zend Guard ou TurkMMCache … mais toutes les autres formes de cryptage auront forcèment besoin d’un code de décryptage quelque part en PHP …

et dans tous les cas, je rajouterais du SSL sur l’interface d’admin :oui:

Plusieurs choses :

  1. changer le mot de passe de la bdd (et l’utilisateur) pour qu’il différe de celui du ftp (si le ftp est accessible de l’extérieur)
  2. secure.fic = pas caché par php si on y accéde directement, renomme ça en secure.fic.php
  3. sous Linux ou Windows, démerde toi pour que seul php ait le droit de lire le fichier.
  4. htaccess pour bloquer secure.fic

+1 : Renseigne toi sur https & mod_ssl si tu veux du mileu de gamme

Pour le haut de gamme faut demander à microsoft il sont balezes en sécurité

Sinon tu as l’authentification LDAP qui marche bien (c’est entre le bas de gamme et le milieu de gamme ;))

:MDR

Y a même pas besoin d’un htaccess.

Suffit de fournir le chemin complet vers le fichier, et le placer là où Apache ne le sert pas, simplement.

Pas bête comme solution… cela dit, certains hébergeurs fournissent uniquement l’accès au répertoire \www, donc la solution du .htaccess est peut-être plus “universelle”. :slight_smile:

Je pense qu’il prendra un serveur mututalisé, et il aura certainement la possibilité de faire cela :slight_smile:

euh une connexion avec SSH c’est pas mieux ?

ouais super une connexion SSH :ane:

Faudrait voir à détailler le pourquoi de vos solutions, tiens.

Je suis ouvert (pour une fois) et ça m’intéresse comme question :slight_smile:

Quels sont vos choix - appuyés par une vraie critique - de sécurité au niveau de vos sites web php/mySQL (tournant sur Apache, pas forcèment sous Linux) ?