Voila ma question va peut-être vous paraitre conne mais je suit obliger de metrtre mon mot de passe sql dans mes page php, je sait que les personnes ne peuvent pas afficher la source, mais ne peuvent il pas avec un aspirateur de site arriver à consulter la source de la page et voir le mot de passe, est-ce que mettre la page contenant les parametre de connection sql dans un dossier protégé par htaccess est suffisante ?
 

1- Aucun aspirateur de site ne peut récupérer les sources PHP.
2- La protection par .htaccess n'est pas une mauvaise idée.

ok dac    
Merci de me rassurer    
Salut  

Autre possibilité qui rejoint le .htaccess : mettre le fichier  en dehors de l'arborescence web d'apache. Ce qui n'est généralement pas possible chez un hébergeur

Il existe un risque très minime. Pour peu que l'extension du fichier ne soit pas reconnue (suite à une mauvaise config), le fichier serait transmis tel quel, non interpreté.
 
Mais bon, ce n'est sans doute pas la première faille sur laquelle s'acharner (les "info leaks" sont les premiers à surveiller; sql injection etc).

De toute manière, et d'une manière générale, les serveurs MySql n'authorisent que les connexions locales, non ?

C'est configurable, donc ca depends.
Mais c'est vrai que chez la pluspart des hebergeurs la connexion a mysql ne peut etre faite qu'en local.

Il suffit donc du user, du mot de passe et d'un autre compte chez le même hebergeur...
 
De plus souvent le user/pass en question est le même que pour le ftp

Effectivement...