Bonjour,
 
je viens de récupérer mes fichiers de mon ftp pour avoir une sauvegarde locale, et je m'apercois dans le fichier qui sert à se connecter à la base de données:

Si vous regardez bien le $user, j'ai fait une faute de frappe. Pourtant la connexion se fait bel et bien. Mon hypothèse c'est que le nom du user est facultatif si on met localhost en nom de serveur. J'ai tout juste ou tou faux?
 
merci  

tu as faux. Il te faut regarder les users declarés dans MySQL. Tu peux creer sans probleme un compte du type:
 
-tout utilisateur
-server %
-ss mot de passe
 
là c'est la porte ouverte.

merde je trouve pas la table des users et je ne vois qu'une base de données (la mienne)  

C'est sur quel hébergeur ton ftp ?

Ba ça doit être free qui se moque complétement de ce qu'on met dans le mysql_connect.

Ce serait etonnant de leur part. Ca fait une belle faille de sécurité

Ba pas vraiment parce ça te connecte à ta base de donnée à toi et pas une autre. Par contre il est vrai que ça peut poser des problèmes en cas de faille d'include.
 
Mais quand on voit qu'il n'y a pas de gestion des droit d'accès au fichiers, je trouve que ça fait un peut peur dans le sens où une faille dans un script qui permettrais de lire un fichier, ne serais-ce que pour en afficher le contenu, on peut facilement lire le contenu d'un .htaccess où les mdp ne sont pas crypté chez free.
 
Conclusion, pas mal de choses sont à revoir chez free, car leur modifs facillites effectivement l'utilisation pour les novices mais la sécurité en prend un cou.