[RESOLU] Je crois que c'est absolument incroyable, mais pas sûr...
Je crois que c'est absolument incroyable, mais pas sûr... [RESOLU] - PHP - Programmation
Marsh Posté le 23-06-2007 à 11:41:36
vire-le, purement et simplement, il est visiblement incompétent.
Marsh Posté le 23-06-2007 à 11:45:17
OK 
mais quels arguments exactement ? Quiconque voit les paramètres de la BD, mais quelles conséquences exactement ?
Merci.
Marsh Posté le 23-06-2007 à 11:49:24
N'importe qui d'un peu malin va pouvoir se connecter à ton serveur de db en tant que "toi" (que ton application), il va donc pouvoir
1. récupérer toutes les infos y étant stockées (y compris des infos personnelles sur tes clients/utilisateurs), ce qui extrèmement grave pour les gens utilisant ton site
2. modifier et potentiellement détruire ta db, ce qui est extrèmement grave pour toi et ton site
---------------
Stick a parrot in a Call of Duty lobby, and you're gonna get a racist parrot. — Cody
Marsh Posté le 23-06-2007 à 11:55:00
Merci ! Voilà qui est clair et précis !
Bonne journée.
'm'en va botter l'cul à quelqu'un...
Marsh Posté le 24-06-2007 à 22:24:35
| masklinn a écrit : N'importe qui d'un peu malin va pouvoir se connecter à ton serveur de db en tant que "toi" (que ton application), il va donc pouvoir |
Pas forcément,
Vu que la plupart des bases de données mysql ne sont atteignables qu'en "localhost"
Enfin, c'est quand meme vraiment pas professionnel, c'est un gros nul, et puis meme si ce n'est atteignable qu'en local, si c'est sur un serveur mutualisé, il suffit que le pirate ait un compte sur le meme pc, et c'est mort.
C'est du gros n'importe quoi.
PS: moi je programme très bien 
---------------
A VENDRE: Razer Chroma ARGB Controller / Boitier / Support Triple Screen / Ventirad / Carte USB3
Marsh Posté le 25-06-2007 à 23:09:13
Reply
Marsh Posté le 27-06-2007 à 22:52:23
certes on y pensant ce n'est si grave que ça, tout en pensant que la connexion ne se fait qu'on local (donc pas d'acces externe) et que le user en question n'a pas de droits critiques sur la base etc. mais rien n'empeche qui si on sait faire tout ça, on passe les params de connexion dans l'url c'est totalement insensé !
donc botte lui bien les fesses 
Marsh Posté le 27-06-2007 à 22:59:37
Cela dit, c'est quand meme vachement grave que la bdd soit en localhost ou pas.
Il suffit qu'il y ai la moindre faille autre part et ton site est cuit. D'autant plus qu'etant donné ses methodes ici, il devrait y en avoir d'autre des ailles en cherchant bien.
Marsh Posté le 28-06-2007 à 00:34:41
résolu... tu l'as viré ça y est ? 
---------------
A VENDRE: Razer Chroma ARGB Controller / Boitier / Support Triple Screen / Ventirad / Carte USB3
Sujets relatifs:
- [Resolu] 1 erreur de validation XHTML 1.0
- [Javascript - URGENT] traitement de chaine de caractère - Résolu
- [RESOLU]javascript + variable
- [resolu]$_GET avec variable contenant des espaces
- [RESOLU] librairie C pour le buzzer pc ? fonction frequence ?
- [html] problème d'affichage selon la résolution[resolu]
- [resolu] Ajouts de données sql par php
- [resolu]probleme avec les '&' et les requetes ajax
- [résolu]XSL conditions
- [RESOLU]-[HTML, CSS] positionnement div
Marsh Posté le 23-06-2007 à 11:39:08
Bonjour,
Un programmeur réalise en ce moment un script PHP/MySQL pour moi.
Dans une page, toutes les données de ma base de données sont passées en clair dans l'URL! Toute personne qui affiche cette page peut donc voir ces paramètres !
Quelque chose comme ça:
(j'ai remplacé ici les données réelles par leur signification)
Je lui fait remarquer, et il me répond "où est le problème avec ça?"
Je pense qu'une telle réponse est incroyable mais, n'étant pas programmeur, je ne sais pas quoi lui rétorquer exactement.
Votre avis?
Merci.
Laurent
Message édité par parisbordeaux le 23-06-2007 à 12:27:46