Bonjour la communauté, j’espère que vous allez toutes et tous bien.
Je m’apprête à installer Dolibarr pour un client, mais vu sa mauvaise expérience du piratage de son siteweb avec son précédent prestataire toutes ces exigences sont la sécurité et ne pas à avoir tombé encore dans les mêmes problèmes. Alors en plus des mesures de sécurité coté serveur, j’ai pensé que spécifier un préfixe autre que xll_ pour la DB de Doli, crypter le mot de passe dans le fichier configuration, créer un fichier install.lock… Cela renforcera sûrement la sécurité de l’instance Doli.
Ma question, est sur le préfixe spécifié pour la DB est ce que cela ne bloquera pas les mises à jour de Doli ?
non ça n’empechera ni le fonctionnement, ni les mises à jour, vu que c’est dans le conf.php et que les scripts ne font pas appel directement à « llx_trucbidule »,
mais à « cettevariable + _trucbidule ».
sauf… les modèles de plans comptable qui font ça en dur…
Mais si c’est pour des raisons de sécurité : ça ne sert à rien du tout de changer ça.
Salut,
SI ça améliore la sécurité sur du sql injection par exemple. Quand tu connais le nom de la table c’est déjà plus facile. Si le préfixe est aléatoire c’est plus compliqué.
@+
Oui, en général, les fichiers de configuration ne sont pas modifiables par les mises à jour.
Mais si la mise à jour concerne aussi une modification ou un ajout dans la DB, je pense que pour cela doli utilise le préfixe par défaut llx_
Si oui cela engendrera des problèmes de mises à jour.
Je vais essayer ça incessamment.
Merci à tous et portez vous bien
Lors d’une installation/mise à jours il y a la vérification de la présence du fichier conf.php donc je pense que les mises à jours se basent également sur ce fichier pour convertir ci-besoin, pour le test je pense qu’il suffit de modifier le conf.php avant une mise à jours et voir comment ça se passe.
Je n’ai jamais eu de souci avec des préfixes sauf 1 ou 2 modules externes où le llx_ était coder en dur. Ça date de longtemps.
Enfin pourquoi une fonction de perso du préfixe existe s’il ne faut pas l’utiliser.
@+
