Crypter son fichier config.php

Discussion dans 'Tutoriels' démarrée par AsTr0, Jui 16, 2009.

  1. AsTr0

    AsTr0 Member

    Malgré toutes les précautions, le pirate a pénétré votre site et cherche maintenant à connaître les login et mot de passe de votre base MySQL pour la pirater, la vider et en prendre le contrôle. On peut lui compliquer la tâche en cryptant ces données sensibles. Le serveur web pourra lire ces informations facilement, mais elles ne seront pas lisibles directement par un œil humain.
    Pour un expert en PHP, cette protection ne dure que 2 minutes, cela lui fait du travail en plus, mais nous ne sommes pas là pour lui faciliter la tâche ?

    Visitez ce site web et cryptez vos données.
    http://www.btt-scripts.com/demo/encrypt/

    Par exemple, mon fichier config.php contient ceci:
    <?php
    //** MySQL settings **//
    $db_server = "localhost";
    $db_name = "nombasesql";
    $db_username = "loginsql";
    $db_password = "motdepasse";
    ?>

    Je copie la partie à encoder entre les balises <?php et ?>
    Je choisis l'encodage "PHP - Extrastrength". Ne cherchez pas un encodage plus élevé, j'ai constaté des erreurs sur les serveurs mutualisés de Planet-Hoster.
    Je copie la longue ligne qui commence par eval(xxxx entre les balises <? et ?> et le colle dans le fichier config.inc.php, ce qui donne:

    <?php
    eval(gzuncompress(gzinflate(base64_decode('AXEAjv942tPX19JS8K0MDvRRKE4tKcnMSy9W0NLS1+flUklJii9OLSpLLVJQULBVUMqtLC7MMdU1VLKGyOUl5qYqKEDk8vJzkxKLU4EKYLKlQK1gFUDZnPz0zDwkuYLE4uLy/KIUsKn5JSmpIIFUkCwAmYgq2g=='))));
    ?>

    Ainsi, vous pouvez occulter toutes les informations sensibles.

    Et attribuez par FTP les droits 404 à votre fichier config.php (ou équivalent).
     
  2. supunclo

    supunclo Banned

    Merci (message effacé)
     
  3. vscconcept

    vscconcept New Member

    cela ne fonctionne pas pour tous les config.php, surtout sous joomla, le fichier config ne ressemble pas du tout au votre
    dans ce cas, est il impossible de crypter son fichier? si quelqu'un a une soluce pour crypter un fichier config joomla je suis preneur.
     
  4. HabbLFR

    HabbLFR New Member

    Merci pour ce tutoriel, j'ai crypter mon fichier de configuration et tout marche parfaitement (y)
    Good job ;)
     
  5. Sirius

    Sirius New Member

    Bonjour,

    nouveau venu, je met les pieds dans le plat;)

    Le fait d'encrypter (c'est un bien grand mot car c'est tout au plus de l'obfuscation) vos fichiers par cette méthode est superflu et voir même dangereux.
    Superflu car on est aucunement ralentis par ceci, les décodeurs sont légions, tiens hop au hasard:
    Mobilefish.com - Online eval gzinflate base64_decode decoder

    Dangereux car utilisant la fonction eval() et eval is evil étant donné que grandement utilisé lors d'attaques rfid.

    Je déconseil.
    Je n'utilise pas.

    Voila juste mon avis.
     

Partager cette page