La configuration de PhpMyAdmin se fait au sein du fichier .\xampp\phpMyAdmin\config.inc.php

La sécurité pour ce produit s'envisage sous deux angles.

Par défaut, PhpMyadmin est livré avec un compte root sans mot de passe et accompagné d'un auto-login. Deux actions sont donc nécessaires pour protéger l'environnement. D'abord, attribuer un mot de passe au compte root :

Ensuite, désactiver l'auto-login. Rechercher dans config.inc.php la variable $cfg['Servers'][$i]['auth_type'] et adapter sa valorisation : “config” (auto-login) ou “cookie” (login form)

$cfg['Servers'][$i]['auth_type'] = "cookie";

Une fois activée l'authentification, le système de chiffrage nécessite d'être sécurisé par une clé secrète.

En effet, les mots de passes vont être stockés dans des cookies sous leur forme chiffrée. Ils seront donc accessibles à tout un chacun sous cette forme.

Connaissant l'algorithme de chiffrage habituellement utilisé par l'environnement, un pirate pourrait disposer de suffisamment de temps pour cracker le mot de passe capté.

Aussi, afin de rendre la tâche d'un pirate beaucoup plus compliquée, on va intégrer au chiffrage une clé secrète propre à l'installation, sous la forme d'une chaîne de caractères. Pour cela, il faut intervenir sur la variable $cfg['blowfish_secret'], dans le même fichier, en lui attribuant une valeur textuelle aléatoire d'au moins 32 caractères :

$cfg['blowfish_secret'] = "remplacer par une chaine aléatoire d'au moins 32 car.";