23-12-2010, 09:39 AM
(Modification du message : 23-12-2010, 09:42 AM par NicoMSEvent.)
(22-12-2010, 05:28 PM)Jeckel a écrit : Attention par contre de ne pas mélanger, ce tuto concerne uniquement la sécurité de la table et de sa structure, et de proposer des idées à reprendre pour toutes données sensibles dans la base de données. Concernant la gestion des droits, du compte utilisateur MySQL (et non de l'application), c'est de la configuration du serveur, pour moi c'est un autre sujet (qui mériterait sans doute un tuto, je vous l'accorde).Un utilisateur bridé (attention, je ne parle pas de chinois :p) qui n'aurait que les droits minimums pour exécuter les scripts (pas de UPDATE, ni de DELETE sur les tables qui n'en on pas besoin, ni de SHOW TABLES, et autres commandes "système"... )
Donc, ne pas utiliser l'utilisateur "root" pour accéder a la base de donnée, devrait suffire a ce niveau
(22-12-2010, 05:28 PM)Jeckel a écrit : @NicoMSEvent : je n'avais pas fait attention à ta remarque sur le cryptage du login... je trouve que ça n'apporte rien de plus en terme de sécurité et par contre plusieurs inconvénient : c'est sur le login que l'on vérifie l'unicité en général, et si le nom du joueur/perso peut être modifiable, dans les modules d'administration, avoir un login unique, figé et en clair est plus pratique (pour identifier les tricheries)...
Un login n'est pas forcément l'e-mail ou le nom du personnage. J'ai d'ailleurs envie (dans mon jeu) de pouvoir controler plusieurs personnage avec un même compte
Le login est la moitié des données d'identification, et le mot de passe la seconde moitié. En cryptant le login, ou protège la premiere moitié
Si ton avis diverge, je serais heureux que tu argumentes pour me donner un angle de vision différent
(22-12-2010, 05:28 PM)Jeckel a écrit : Et puis si un utilisateur t'envoie un mail "je n'arrive plus à me connecter, mon login c'est machin..."C'est un faux problème, si tu fais un SELECT * FROM joueurs WHERE login=PASSWORD('utilisateur_perdu') , tu devrais arriver a le retrouver
Maintenant, si il a perdu son login, c'est plus embetant... il pourrait en creer un nouveau comme pour le mot de passe sur base de son e-mail (avec e-mail de confirmation evidemment, éventuellement en lui envoyant en clair son login, mais pas son mot de passe -> j'ai pour politique de ne jamais afficher en clair les mots de passe)
Je signale que je ne détiens pas la vérité unique et absolue, je peux me tromper. La critique peut aussi être constructive. Critiquez moi!
La quête d'Ewilan
http://easy2hack.ma-soiree.be
La quête d'Ewilan
http://easy2hack.ma-soiree.be