sécurite d'un site et bases de données

[invite843f61d9]

bonjour

j'ai 2 questions:
d'abord:
1.est ce qu'il est possible de gérer la sécurité d'un site fait avec php et mysql par exemple, en gérant les droits d'accès à la base de données.

ensuite
2.si ce la se fait, comment le faire puisqu'en général la premiere connexion se fait en tant que root

sinon
comment proteger ma base de données par d'autres moyens

Merci!
-----

[invite843f61d9]

je parle précisément des requetes grant sur une base de données

[invite24357dd0]

Bonjour,

1.est ce qu'il est possible de gérer la sécurité d'un site fait avec php et mysql par exemple, en gérant les droits d'accès à la base de données.

Cela est tout à fait possible et il y a plusieurs méthodes. Soit tu effectues le contrôle au niveau du PHP : l'utilisateur doit entrer son identifiant et son mot de passe. Une fois cela fait, ton script PHP vérifie que cet utilisateur se trouve bien, avec le bon mot de passe, dans une des tables de ta base de donnée. Si c'est le cas, l'utilisateur se voit attribué des droits (définissables dans un champ de la table, éventuellement). Soit tu effectues le contrôle au niveau de MySQL. Pour cela, il faut que tu aies un accès root sur MySQL pour y créer des utilisateurs (qui peuvent être différents des utilisateurs du serveur) avec différents droits d'accès sur différentes tables. Chez la plupart des hébergeurs, dans la plupart des offres d'hébergement, cette solution n'est pas possible (ils ne te donnent pas le mot de passe root). Mais si tu héberges MySQL sur ta machine, c'est faisable.

2.si ce la se fait, comment le faire puisqu'en général la premiere connexion se fait en tant que root

Quelle première connection ? Si tu as défini un autre utilisateur MySQL que root, tu peux très bien n'utiliser que cet utilisateur, dès la première connection.

comment proteger ma base de données par d'autres moyens

Les divers moyens de protection d'un serveur sont de rigueur (firewall, règles d'accès et de gestion à distance, etc.). Sinon, un bon mot de passe root et juste les droits qu'il faut pour que çà marche aux autres utilisateurs. Il y a peut-être d'autres précautions à prendre mais je ne suis pas spécialiste en sécurité.
Au niveau de ton site web, par contre, il y a des petits trucs qui marchent : mets les paramètres de connection à la base de données dans un fichier puis fait un include. Si possible, nomme ce fichier en quelquechose.php (ainsi, si quelqu'un le découvre, le serveur exécutera le PHP et n'affiera rien ; si tu mets .inc ou .txt, tous tes paramètres apparaîtront en clair). Finalement, mets ce fichier dans un répertoire que tu protégeras avec un fichier .htaccess.