Bonjour,
Je me pose la question de savoir comment il est préférable de faire pour créer un application php accessible sur le net hébergé sur un serveur de façon à ce que les individus mal intentionné ne puisse pas accéder au mot de passe des formulaires ou dans le code php ?
Cdt
BonjourEnvoyé par vince6629
Je fais l'hypothèse que tu utilises un site chez un hébergeur et que celui-ci fonctionne sous Linux. Il y a bien entendu d'autres variantes possible non abordées ci-dessous.
Tu créé un dossier à la racine du site, exemple, dossier nommé "perso". Tu limite les droits d'accès à ce dossier au seul propriétaire. Ainsi, il n'est plus "browseable", plus visible ni accessible depuis le web mais reste utilisable par le serveur PHP.
Dans ce dossier, tu créé un fichier texte que nous appellerons "login.txt". Il contient le login et le mot de passe sous cette forme :
Dans le dossier contenant le formulaire à protéger, tu créé un fichier ".htaccess" avec lui aussi des droits limités au seul propriétaire. ATTENTION : le point devant le h est important. C'est un fichier texte ou ASCII. La présence d'un fichier .htaccess dans un dossier génère automatiquement une demande d'authentification.Code:login:mot_de_passe
Il contient ceci :
Dans la 1ère ligne, remarque la référence au dossier "perso" et au fichier "login.txt"Code:PerlSetVar AuthFile perso/login.txt AuthName "Acces Restreint" AuthType Basic require valid-user
Je travaille sous windows. Le code php n'est pas vu coté "client" .
merci de votre aide, je vais essayer vos conseils .
Bonjour
Oui le code PHP n'est pas visible depuis un client web ce qui est déjà un élément de sécurité mais un dossier "browseable" est un point faible, d'où l'intérêt de stocker les mots de passe dans un dossier verrouillé (non browseable) donc non vu par les robots et les "visiteurs indélicats".
Je ne comprends pas ce que la phrase "Je travaille sous windows" vient faire ici ?
Oui, le code PHP n'est pas accessible depuis le navigateur.
Donc <?php $motdepasse = "xxxx" ?> ne sera pas accessible depuis le navigateur.
Par contre, si quelqu'un accède à ton serveur, il aura accès à ce mot de passe.
Si tu fais un site ou il y a des utilisateurs (avec login + mot de passe), ces login et mot de passe seront stocké dans la base de données (souvent mysql).
Mais la encore, si quelqu'un arrive à accéder à ta base de données, il aura accès aux mot passe.
Donc pour stocker ce mot de passe, on utilise un système de hashage (comme MD5).
Mot de passe > MD5 > suite de caractère. Impossible de trouver le mot de passe à partir de cette suite de caractère.
Quand un utilisateur se connecte en saisissant son mot de passe, on le hash et on vérifie qu'il correspond bien à la chaine de caractère qu'on a stocké dans notre base de données.
Donc, si l'utilisateur perd son mot de passe, on ne pourra pas lui redonner car on a stocké que le hash du mot de passe, on lui envoi donc un lien pour qu'il choisisse un nouveau mot de passe.
Si on veut stocker les mots de passe dans notre base de données, il faudra les crypter plutôt que le hasher.
Cf:
https://fr.wikipedia.org/wiki/Fonction_de_hachage
https://fr.wikipedia.org/wiki/Chiffrement
Mais je ne suis pas sûr de répondre à ta question. Peux tu préciser un peu ta demande ?
En aucun cas, car cela ne fait que déplacer le problème vers celui du stockage de la clef de cryptage.
Le processus normal est de hasher les MDP à l'écriture et de comparer le hash stocké au hash du mdp saisi.
Un test simple pour savoir si un site utilise l'aberrante solution de stocker les mdp en clair ou en crypté est, après l'inscription, d'activer la fonction de perte de MDP. Si le site renvoie le MDP, au lieu de le réinitialiser, c'est à fuir..
