Flux rss
Ils ont besoin de votre aide
Collection CommentCaMarche.net
Rechercher : dans
Par : Pertinence Date Nom d'utilisateur
Statut : Résolu

Crypter le mot de passe de MySQL ou pas ?

le_boss, le jeudi 21 août 2008 à 11:55:27
Bonjour,

Tout est dans le titre, j'ai vaguement entendu parler de crypter le mot de passe de MySQL dans les sripts php, mais je me demande si c'est bien utile, puisque le code php n'est pas visible...

Pouvez-vous éclairer ma lanterne de newbie, svp ? ;-)

Merci
Répondre à le_boss  Signaler ce message aux modérateurs Aller au dernier message

1


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
OrionS, le jeudi 21 août 2008 à 11:57:50
bonjour,

Il est toujours préferable de crypter un mot de passe lorsqu'il est stocké dans une base de données.
en php tu peux utiliser le MD5. 

$motdepasse = MD5("le mot de passe en clair");
   
Répondre à OrionS

2


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
absurdsystem, le jeudi 21 août 2008 à 11:58:16
Slt,

moi aussi je me demandai l'interet de faire ça ....

Pour moi ça fai une protection en plus si jamais on arrive a accéder à ta base de données par exemple.
   
Répondre à absurdsystem

3


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
ghuysmans99, le jeudi 21 août 2008 à 11:58:59
T'as pas tout à fait tort de te poser la question.
Et de toutes façons, celui qui arrive à rentrer dans ton serveur peut rapatrier ce/ces fichiers pour trouver le mot de passe.
Donc ... inutile, à mon sens. VB.NET is good ... VB6 is better !
   
Répondre à ghuysmans99

4


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
MrSlave, le jeudi 21 août 2008 à 12:01:19
Bah si c'est utile.

Un utilisateur malveillant peut récupérer les données transitant entre ton site et ta BD. Donc si tes données sont en clair, il pourra provoquer de gros dégats.
Alors que si tes données sont cryptées. Même si il les récupère, elles ne seront pas exploitables. ;) MrSlave, l'esclave de ces demoiselles !
   
Répondre à MrSlave

5


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
le_boss, le jeudi 21 août 2008 à 13:29:18
Attention, je parle ici du mot de passe que l'on insère dans la ligne de connexion à MySQL:

mysql_connect("tutu", "toto", "mot_de_passe_de_fou");

Je me fous pas mal qu'un éventuel pirate puisse lire le contenu de la BDD, de toute façon, le but est d'afficher ce contenu sur le site.

Ce que je veux éviter, c'est que le pirate puisse lire mon mot de passe dans la ligne ci-dessus, ce qui lui permettrait de faire tout ce qu'il veut à ma BDD.
   
Répondre à le_boss

6


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
BlackDrag00n, le jeudi 21 août 2008 à 13:33:30
pas la peine car le script pour accedez a ta base de donnée ce trouve sur ton serveur et donc il n'y a pas de donnée qui transite pas le web.

ton script s'execute sur le serveur et se connect a la base de donnée sur le serveur, et comme dit plus haut la source d'une page n'affiche pas le php donc n'affichera pas les infos pour ce connecter a ta BDD ;)
   
Répondre à BlackDrag00n

7


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Dr Zoidberg, le jeudi 21 août 2008 à 13:54:01
La serveur Mysql n'est pas forcement sur la même machine que le serveur Web.
De toute façon mysql_connect prend un paramètre mot de passe en clair, il faudra donc le décrypter avant de lui passer. Donc comme il a déjà été dit, ca ne sert à rien de le crypter dans le script.
   
Répondre à Dr Zoidberg

8


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
BlackDrag00n, le jeudi 21 août 2008 à 14:02:40
oui mais dans le cas présent la BDD n'est pas sur une autre marchine que sur le serveur web :)
   
Répondre à BlackDrag00n

9


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
le_boss, le jeudi 21 août 2008 à 14:10:38
Dans mon cas, effectivement, la BDD est sur le même serveur que le site.

Mais je suis heureux d'apprendre que cela n'est pas forcément le cas... ça veut dire que si j'ai un hébergement gratuit un peu miteux qui ne met pas ou pas assez de BDD à disposition, je peux contourner le problème en faisant appel à des bases de données situées sur mon serveur web perso à la maison. (a moins que cela ne ralentisse trop le fonctionnement de mon site, qu'en pensez-vous ?)
   
Répondre à le_boss

10


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Dr Zoidberg, le jeudi 21 août 2008 à 14:16:01
Oui ça ralentirai nécessairement car tes données passeraient deux fois par internet :
client <----> serveur web <----> serveur bd au lien d'une seule
, et en plus tu exposerais ton serveur de bd 'au monde'.
   
Répondre à Dr Zoidberg

11


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
ShadowRevenge, le jeudi 21 août 2008 à 14:22:20
Si tu as un hebergement miteux comme tu dis, si quelqu'un fait peter ton serveur il aura acces aux fichiers, et donc a ton mot de passe mysql, meme si ta base est sur un autre serveur ^^
Et de toute façon c'est simple tu ne peux pas crypté le mot de passe dans la fonction mysql_connect, la seule solution que tu as c'est de crypté l'ensemble des données qui transitent en utilisant du https par exemple, mais bon si tu veux mon avis ca vaut pas le coup :)
   
Répondre à ShadowRevenge

12


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
le_boss, le jeudi 21 août 2008 à 14:31:17
"De toute façon mysql_connect prend un paramètre mot de passe en clair"

ben alors, pas de solution (hormis le SSL, mais ça je crois que je vais pas m'y lancer ^^) pour éviter que le premier apprenti pirate venu me hacke mon joli p'tit site ? sgnirffll

comment y font les sites sans SSL (et y en a des tas) pour pas se faire hacker leur truc, alors ?
   
Répondre à le_boss

13


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
ShadowRevenge, le jeudi 21 août 2008 à 14:35:18
Un hack résulte rarement d'un manque de cryptage sur un site, mais plus souvent d'une faille dans la programmation PHP, ou dans la rigueur de programmation en général.
   
Répondre à ShadowRevenge

14


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
Dr Zoidberg, le jeudi 21 août 2008 à 14:46:58
En résumé :
- Le code PHP n'est jamais visible du client (sauf erreur du développeur ou de l'admin du serveur)
- Le lien réseau entre serveur Web et serveur BD est soit inexistant (même machine) soit sur un réseau privé, soit le serveur BD n'accepte des connexions que des IP des serveurs web associés.
   
Répondre à Dr Zoidberg

15


  • Ce message vous semble utile, votez !
  • Signaler ce message aux modérateurs
 le_boss, le jeudi 21 août 2008 à 15:27:57
oki merci pour toutes vos réponses

m'en vais laisser mon mysql_connect tel quel et me gaffer à composer des scripts "secure" et les tester à fond avant la mise en production !
   
Répondre à le_boss
Posez votre question Répondre

Résultats pour Crypter le mot de passe de MySQL ou pas ?

Pb php de vérification d'une valeur Mysql (Résolu) Bonjour, je shouaite créer un champ d'inscription à une newsletter, mais j'aimerais vérifier si un email existe deja pour afficher un message ou autre. voilà mon code ... www.commentcamarche.net/forum/affich-9026179-pb-php-de-verification-d-une-valeur-mysql
Impossible de connecter script php à base SQL (Résolu) bonjour; nous sommes actuellement confrontés au problème suivant: nos scripts php débute avec $ressource=mysql_connect ($host,$user,$password); mysql_select_db ($base,$ressource); le $user spécifié possède tous les droits sur la $base or lorsque le... www.commentcamarche.net/forum/affich-3291927-impossible-de-connecter-script-php-a-base-sql
J'ai fait une erreur ? (Résolu) Bonjour, www.commentcamarche.net/forum/affich-8158086-j-ai-fait-une-erreur

Résultats pour Crypter le mot de passe de MySQL ou pas ?

Réinitialiser le mot de passe root de MySQLQue ce soit lors de la première installation ou après la perte du mot de passe principal de MySQL, il est nécessaire de pouvoir modifier le mot de passe administrateur (root) de MySQL. Vous avez perdu le mot de passe root de MySQL ? Pour pouvoir... www.commentcamarche.net/faq/sujet-9773-reinitialiser-le-mot-de-passe-root-de-mysql
Installation rapide de LAMP (Apache+MySql+php) sous LinuxLAMP = Linux+Apache+MySql+Php. C'est le serveur web par excellence. L'ensemble est facile à installer. Installation rapide sudo aptitude install apache2 php5 mysql-server php5-mysql libapache2-mod-php5 Le mot de passe administrateur mySQL... www.commentcamarche.net/faq/sujet-7971-installation-rapide-de-lamp-apache-mysql-php-sous-linux
Comment bien stocker et vérifier un mot de passe.Si vous développez une application qui doit gérer les mots de passe, il est important de bien le faire, sous peine de risquer le piratage de votre système et la compromition des données de vos utilsateurs. Il existe de bonnes pratiques pour... www.commentcamarche.net/faq/sujet-8821-comment-bien-stocker-et-verifier-un-mot-de-passe
1 2 3 Suivant

Résultats pour Crypter le mot de passe de MySQL ou pas ?

Concaténer un champ et une variable (Résolu)Bonjour, J'essaye de prendre un champ de ma base sql et de lui rajouter le contenu d'une variable avant de la sauver au même endroit. je fait çà mais ça ne marche pas : mysql_connect($host, $user, $pass); mysql_select_db($bdd); $suite =... www.commentcamarche.net/forum/affich-8357781-concatener-un-champ-et-une-variable
[Php/Sql]requete sql (Résolu)Bonsoir ou bonjour , j'ai un petit probleme avec ce code que j'ai fait : www.commentcamarche.net/forum/affich-2727406-php-sql-requete-sql
Code SQL bidon (Résolu)Bonjour, Vous pouvez me dire ou est l'erreur ? $pseudo = mysql_real_escape_string(htmlspecialchars($_POST['pseudo'])); $pass = mysql_real_escape_string(htmlspecialchars($_POST['pass'])); $pass= md5(md5($pass));... www.commentcamarche.net/forum/affich-8166274-code-sql-bidon
1 2 3 Suivant

Résultats pour Crypter le mot de passe de MySQL ou pas ?

Télécharger LastpassPour que les autres ne puissent pas crypter vos mots de passe sur différent compte, vous en donnez un différent pour chacune d'elle. Mais quand vient le jour où vous ne savez plus quel mot de passe va avec qui, les problèmes commencent et vous perdez... www.commentcamarche.net/telecharger/telecharger-34056397-lastpass
Télécharger Pirem TopSecret La gestion et la protection des mots de passe n'est pas une mince à faire. Le programme Pirem est tout à fait simple d'utilisation et d'exécution, mais extrêmement puissant. Il génère des mots de passe sécurisés et permet de les crypter pour échapper... www.commentcamarche.net/telecharger/telecharger-34055787-pirem-topsecret
1 2 3 Suivant

Résultats pour Crypter le mot de passe de MySQL ou pas ?

Apache - IntroductionQu'est-ce qu'un serveur web ? Un serveur web est un logiciel permettant à des clients d'accéder à des pages web, c'est-à-dire en réalité des fichiers au format HTML à partir d'un navigateur (aussi appelé browser) installé sur leur ordinateur... www.commentcamarche.net/contents/apache/apacintro.php3
Apache - Crypter les mots de passe .htaccessRésultat du chiffrement Pour créer votre fichier .htpasswd, il vous suffit de créer un fichier texte contenant uniquement la ligne suivante : Cet outil génère des mots de passe chiffrés différents pour un même mot de passe en clair. Toutefois... www.commentcamarche.net/contents/apache/crypt.php3
1 2 3 Suivant