bonjour,

je suis toujours aussi débutant, je suis en train de patoger pour transférer mon site chez l'hebergeur en suivant les articles tutor...j'en suis à la modification du main.php

que vois je !! mon nom d'utilisateur et mon mot de passe y sont écrit en toute lettre en plein millieu !

n'importe qui peut voir ca ! quelque soit l'etat de securité du fichier ! me trompe je ?

je suis en train de rien comprendre à la technique moderne là
quelqu'un peut il m'en dire plus ?

Merci beaucoup

En effet le fichier mainfile.php contient les informations qui permettent d'accéder à ta base de données. Il faut bien les stocker quelque part.

Soit rassuré, car jusqu'à présent les quelques sites xoops qui ont été hackés ne l'ont jamais été par une faille de xoops, mais par une une défaillance de l'hébergeur qui le plus souvent n'avait pas mis à jour les derniers patchs sur le système d'exploitation de son serveur.

il faut au moins éviter d'utiliser comme mot de passe le mot de passe de son coffre fort !

Ca refroidi de voir ca...


Merci

ben d'un autre côté quelle autre solution envisager ????

je ne sais pas ! je suis débutant et je le serai certainement trés longtemps sur ce genre de question de sécurité où il doit falloir etre encore plus bon que super bon !

C'est juste que c'est trés surprenant de voir ainsi son mot de passe ecrit en clair dans le "principal" fichier du site...

L'administrateur debutant/imprudent (que j'ai manqué de peu d'etre) peut trés bien utiliser un mot de passe qu'il a l'habitude d'utiliser pour d'autre choses beaucoup plus sensibles et ainsi les dévoiler au monde.

A la limite le trou de securité n'est pas vraiment pour le site mais pour tout le reste !

Citation :
alors pourquoi crier au loup

je ne crie pas au loup, c'est ce que j'explique juste avant !
Ce sont des choses facilement dangereuses pour un débutant qui n'est pas conscient de la chose et qui utiliserait par "facilité" un mot de passe utilisé déjà pour d'autres choses plus sensibles.

vous allez me répondre que ce sont des régles de bon sens, mais le débutant est quelqu'un qui n'a pas forcement le bon sens formaté dans le bon sens... Je suis malhereusement trés bien placé pour le savoir


Par curiosité, pouvez vous me dire comment marche la sauvegarde des login et mot des passe des utilisateurs d'un site net dans la base de donnée du site ? C'est ecrit egalement en toute lettre quelquepart ou il existe des codagesdelamortkitue pour entrée dans la base ?

Merci

Bonjour,

si je ne m'abuse, les login/mots de passe du mainfile.php pour se connecter à la base de données sont écrits "en clair", mais à moins d'une panne du serveur php, ne sont pas accessibles (on rappelle que des scripts php sont par définition exécutés côté serveur, et non côté client).
Pour le login utilisateur de Xoops, il est inscrit en clair dans la BDD, mais le mot de passe correspondant est crypté par un algorithme md5 dans la base de données.
A noter que la version 2.2 apporte une sécurité supplémentaire en instaurant un nom de login (pour se connecter) et un nom d'utilisateur (visible sur le site).

@+

pour compléter fooups, le mot de passe n'est pas crypté, le md5 n'est pas un cryptage car on ne peut décrypter.

Citation :

En faite quand un visiteur s'inscrit il donne son mot de passe, xoops calcule le md5 du pass et l'enregistre dans la base de donnée, ensuite lorsque le visiteur veut se connecter, il tape son mot de passe, là xoops recalcule le md5 et le compare avec le md5 présent dans la base de donnée, si ils sont identiques, c'est le bon pass !

Voilà :banana:

Salut,

Pour le mainfile, tu peux prendre cette astuce

A +