Stratégie pour robustifier une communication

[hoffmann]

Bonsoir à tous !
Je suis entrain de prendre en main un module GSM/GPRS qui peut donc se connecter sur internet.
Pour mon application embarqué, j'ai besoin de venir récupérer des données stockées dans ma base de données mysql (reliée à mon site internet).
J'aimerai sécuriser un peu la communication (surtout histoire que tout internet ne puisse pas voir la sortie de la base de donnée).

Je ne suis pas un expert du php/mysql mais j'arrive à faire des choses...

Je pensais :
le module gprs charge une page php avec un argument mot de passe (type : toto.php?code=sodiofdicpoxcpox c)

la page toto.php regarde si le code est le bon et affiche ou non les variables de la bdd.

Si plusieurs tentatives de mot de passe ont eu lieux, alors la page bloque les prochaines tentative (compteur de session).

Qu'en pensez-vous ?

Cela me semble basique.

Merci d'avance
-----

[JPL]

Assurance supplémentaire, au lieu de stocker le mot de passe tu stockes son hash et tu compares avec le hash de mot de passe que tu tapes. Comme cela il serait impossible de retrouver le mot de passe si quelqu’un arrivait à craquer toto.php.

[LeMulet]

De plus au niveau du codage, il est impératif de prendre en compte l'attaque la plus simple, à la portée du premier venu : L'injection SQL.
https://openclassrooms.com/courses/2...linjection-sql

[Ikhar84]

Si le module peut jouer avec les entêtes http, passer le code en post au lieu de get (pas de code en clair dans la requête), je sais pas si on peux mettre en place du ssl à ce niveau en plus...

[A voir en vidéo sur Futura]

[hoffmann]

Ok merci pour les infos,

Je mets donc en place le hash,
les requêtes préparés (pour le sql)


Pour le GET / POST, je crois que je peux utiliser le POST avec mon module...
Par contre j'ai lu que c'était aussi facilement usurpable...

Merci pour votre aide !

[Gian7]

Salut.

Dans tu créer une page de connexion qui liste les information de ta base de données.
Tu as phpMyAdmin.
Tu as de multiple façon de faire ça.

Et la maniere la plus simple l'indexage .htacess avec un .htpasswd. si tu pouvais données plus de details si tu deux de l'aide.

[Gian7]

Tu as le Google Authenticator.
Donc tu peux l'utiliser en php, pour utiliser ton mobile comme protection plus robuste qu'une protection par mot de passe et connexion SSL. Google à publier ses "drivers" qui permette d'interagir avec ceux-ci. Cependant tu necessite un serveur et non un Hebergement mutualisé.

Renseigne toi à propos de Google OAuth.

J'ai créé un CMS pour un projet qui assure une protection donc système membre basique.

Si tu le souhaite, je peux t'aiguiller, t'aider.

[Gian7]

Si le module peut jouer avec les entêtes http, passer le code en post au lieu de get (pas de code en clair dans la requête), je sais pas si on peux mettre en place du ssl à ce niveau en plus...

Aucun interet d'avoir du SSL si c'est pour passee du texte en claire.


Tu parle de récupérer des données via une application developpe.