Malgré toutes les précautions, le pirate a pénétré votre site et cherche maintenant à connaître les login et mot de passe de votre base MySQL pour la pirater, la vider et en prendre le contrôle. On peut lui compliquer la tâche en cryptant ces données sensibles. Le serveur web pourra lire ces informations facilement, mais elles ne seront pas lisibles directement par un œil humain.
Pour un expert en PHP, cette protection ne dure que 2 minutes, cela lui fait du travail en plus, mais nous ne sommes pas là pour lui faciliter la tâche ?
Visitez ce site web et cryptez vos données.
http://www.btt-scripts.com/demo/encrypt/
Par exemple, mon fichier config.php contient ceci:
<?php
//** MySQL settings **//
$db_server = "localhost";
$db_name = "nombasesql";
$db_username = "loginsql";
$db_password = "motdepasse";
?>
Je copie la partie à encoder entre les balises <?php et ?>
Je choisis l'encodage "PHP - Extrastrength". Ne cherchez pas un encodage plus élevé, j'ai constaté des erreurs sur les serveurs mutualisés de Planet-Hoster.
Je copie la longue ligne qui commence par eval(xxxx entre les balises <? et ?> et le colle dans le fichier config.inc.php, ce qui donne:
<?php
eval(gzuncompress(gzinflate(base64_decode('AXEAjv942tPX19JS8K0MDvRRKE4tKcnMSy9W0NLS1+flUklJii9OLSpLLVJQULBVUMqtLC7MMdU1VLKGyOUl5qYqKEDk8vJzkxKLU4EKYLKlQK1gFUDZnPz0zDwkuYLE4uLy/KIUsKn5JSmpIIFUkCwAmYgq2g=='))));
?>
Ainsi, vous pouvez occulter toutes les informations sensibles.
Et attribuez par FTP les droits 404 à votre fichier config.php (ou équivalent).
Pour un expert en PHP, cette protection ne dure que 2 minutes, cela lui fait du travail en plus, mais nous ne sommes pas là pour lui faciliter la tâche ?
Visitez ce site web et cryptez vos données.
http://www.btt-scripts.com/demo/encrypt/
Par exemple, mon fichier config.php contient ceci:
<?php
//** MySQL settings **//
$db_server = "localhost";
$db_name = "nombasesql";
$db_username = "loginsql";
$db_password = "motdepasse";
?>
Je copie la partie à encoder entre les balises <?php et ?>
Je choisis l'encodage "PHP - Extrastrength". Ne cherchez pas un encodage plus élevé, j'ai constaté des erreurs sur les serveurs mutualisés de Planet-Hoster.
Je copie la longue ligne qui commence par eval(xxxx entre les balises <? et ?> et le colle dans le fichier config.inc.php, ce qui donne:
<?php
eval(gzuncompress(gzinflate(base64_decode('AXEAjv942tPX19JS8K0MDvRRKE4tKcnMSy9W0NLS1+flUklJii9OLSpLLVJQULBVUMqtLC7MMdU1VLKGyOUl5qYqKEDk8vJzkxKLU4EKYLKlQK1gFUDZnPz0zDwkuYLE4uLy/KIUsKn5JSmpIIFUkCwAmYgq2g=='))));
?>
Ainsi, vous pouvez occulter toutes les informations sensibles.
Et attribuez par FTP les droits 404 à votre fichier config.php (ou équivalent).