Y at-il un moyen qu'un attaquant puisse voir le code source dans les scripts php sur mon serveur?

Question

J'ai un serveur exécutant un os Debian, et j'ai une multitude de scripts .php situés dans le répertoire public apache par défaut. Ce n'est certainement pas le moyen le plus sûr de le faire, mais j'ai un script qui exécutera $ _REQUEST ["sql"] sur la base de données mysql. Vous pouvez seulement interroger ceci si vous avez le bon mot de passe, qui est comparé en texte brut dans le script.

Ma question est de savoir si un attaquant pourrait voir ce script et trouver le mot de passe, puis exécuter des instructions sql à volonté?

Answer 1

Est-il possible? Bien sûr, si votre serveur est piraté, ce qui est une réelle possibilité. Cela étant dit, il est en fait normal d'inclure des informations d'identification dans des fichiers PHP (par exemple Wordpress), même si ce n'est pas le moyen le plus sûr possible. Cependant, ce dont vous parlez, c'est un risque de sécurité inutile. En termes d'authentification, vous devriez utiliser un hachage unidirectionnel sur le mot de passe afin que si les fichiers PHP sont compromis, un attaquant ne pourra toujours pas les utiliser. Découvrez the password_hash(..) function.

En outre, vous ne devez jamais exécuter d'instructions SQL directement envoyées par l'utilisateur. Si vous devez effectuer des tâches administratives, utilisez Adminer ou PhpMyAdmin. Les instructions SQL doivent être générées côté serveur using prepared statements pour échapper les informations d'entrée utilisateur.