sécurisation accès base de données https ou pas?

[lepierrot]

je voudrais permettre des recherches dans un fichier de noms, d'adresses et de professions (par nom, par ville, département, par profession...)

j'ai déjà utilisé une base sql avec une gestion "id" et "mot de passe" et pour la page à protéger:

session_start();
if ($_SESSION['statut'] != "valide")
{
header ("Location:fichieracces.php");


et la page fichieracces.php qui gère les accès avec "session_register"

je ne voudrais pas que:
-les id et mot de passe puissent être interceptés
-quelqu'un sans id et mot de passe ne puisse pas me pomper la base
-de connexions multiples en même temps avec le même mot de passe

quel est le niveau de sécurité du système ci-dessus?
dans quel cas faut il utiliser du https?
si vous avez des bons tutorials sur ces sujets...

 

[peofofo]

le Php est un support de sécurité car les pages se trasnscrit par le serveur.
Il y a pas de risque qu'une autre personne rentre sur ta base de donnée.
Sauf si il détient le mot de passe de ta base MYsql.
Et les fichiers .htaccess te permet de protéger tes fichiers et de faire une liste de personne autorisé à entrer sur la page.

 

[lepierrot]

le Php est un support de sécurité car les pages se trasnscrit par le serveur.
Il y a pas de risque qu'une autre personne rentre sur ta base de donnée.
Sauf si il détient le mot de passe de ta base MYsql.
Et les fichiers .htaccess te permet de protéger tes fichiers et de faire une liste de personne autorisé à entrer sur la page.

quel serait l'intérêt de passer à du https?

 

[peofofo]

Dans quel cas faut il utiliser du https?
HTTPS (le cadenas), c'est un peu comme un fourgon blindé: Il vous assure la sécurité du transport et uniquement la sécurité du transport.
Il est surtout utilisé comme moyen de paiement ou comme accès de donnée à ton compte bancaire par exemple.

De la même manière que des truands peuvent louer les services d'un fourgon blindé, des pirates et truands peuvent très bien créer un site sécurisé (avec le petit cadenas).

Soyez vigilants, et ne confiez pas n'importe quelle information sur n'importe quel site, cadenas ou pas. :na:
Peo

 

[lepierrot]

quel est le degré de risque de se faire sniffer l'identifiant et le password quand on se connecte à un site internet qui n'est pas protégé par du https?
(dans le même genre par exemple quand on s'identifie sur ce forum)

j'ai lu qu'un hébergeur ne propose pas de

Vous devez être connecté pour voir les liens.

pour des hébergements mutualisés, ce qui est mon cas
il faudrait passer à un hébergement sur une machine dédiée nettement plus chère

la confidentialité des données sur mon site n'est pas vitale mais l'accès sera payant.
le nombre de clients sera à priori faible (<10 par 24h)
mais je voudrais éviter que d'autres accèdent aux données

 

[KangOl]

pas besoin de https dans ce cas...

 

[lepierrot]

pas besoin de https dans ce cas...

2 questions

-1-donc le risque de se faire sniffer identifiant et mot de passe est très faible?

-2-reste à sécuriser mon code php (paramétrage php.ini, magic_quotes_gpc, ...) , où peut on trouver un bon tuto?

 

[KangOl]

1. ca dépend du site
2. pas de tete