Forum

Je me suis demander un peu comment on était protèger si quelqun arrivais par megarde a trouver notre base de donnée pourrait t'il exploiter nos info?
En fait j'ai tester sur un site local par ce biais:
[code]
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="fr">
<head>
<title>Affichages des donnés</title>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1" />
</head>
<body>
<strong>Voici les sites menbres dans la base de donnée:</strong>
<br />
<hr />
<?php
mysql_connect("localhost", "User", "Pass" or die(mysql_error());// Connexion à MySQL
mysql_select_db("DataBase"); // Sélection de la base
// On est connectés, on peut travailler sur la BDD

$reponse = mysql_query("SELECT * FROM phpboost_membre"or die(mysql_error());// Requête SQL

// On fait une boucle pour lister tout ce que contient la table :
while ($donnees = mysql_fetch_array($reponse) )
{
?>
<p>
<strong>NOM</strong> : <?php echo $donnees['login']; ?><br />
<strong>Pass</strong> : <?php echo $donnees['password']; ?><br />
<strong>mail</strong> : <?php echo $donnees['user_mail']; ?><br />
<strong>Thème</strong> : <?php echo $donnees['user_theme']; ?><br />

<hr />
</p>

<?php
}
// On a fini de travailler, on ferme la connexion :
mysql_close(); // Déconnexion de MySQL
?>
</body>
</html>
[/code]
voila un test pour la table menbre en fait le mot de passe est chiffré.
le reste apparait normalement je n'ai pas mis tout ca prennait trop de place .
Et merci crowkaiT .

Biensur votre mot de passe est chiffré en md5 qui est censé être un format indécriptable (il y a quelques années), aujourd'hui avec un ordinateur puissant il est possible de trouver un mot de pass correspondant à la valeur encodée (hachée plus exactement) en quelques heures/jours.

Si votre mot de passe est complèxe comme le mien avec des caractères spéciaux, des chiffres et des lettres c'est pratiquement impossible à décripter.


Mais avant que quelqu'un ait accès à ta base de donnée c'est que vraiment il est doué, peu probable sur de petit site..

heu le md5 s'il y as un espace ou un tiret un bébé qui saurait coder aujourd'hui sera mort (si il vit 255ans) avant que l'ordi ait fini de déchiffrer)

Déjà comment avoir le l'adresse de la base de données.Généralement elle n'est pas sur le même serveur que les fichiers du site. Ensuite pour le mot de passe?
Je penses que beaucoup de personnes ont déjà testé et si ça marchait ça se saurait lol

logiquement ya pas de raison mais crowkaiT y as pensé je tenais a le souligné.

On a bien fait gaffe de sécuriser l'accès au fichier config, en le lisant uniquement si une variable vaut 1, ce qui se produit uniquement à la connexion, donc il semble difficile de trouver le mot de passe de la BDD. Ensuite c'est évident que si tu as ce mot de passe, tu peux non seulement trouver les mots de passes en crypté, mais aussi tu peux anéantir tout le portail.