C'est a moitié sécurisé. C'est vrai que ca empéche de demander une page sur un autre site mais ca n'empéche personne d'accéder à la page "contenu.php". Il suffit juste qu'ils sachent qu'il faut initialiser la variable à "page1".
attentio a écrit :
Code :
- include('contenu.php');
|
etait la solution pour resoudre cette failles?
si non (on ne se moque pas)... merci de me conseiller
|
Là, ils auront droit à cette page à chaque fois.
C'est la seule différence par rapport à avant.
Par contre :
Code :
- include($_GET['page']);
|
N'est absolument pas sécurisé, il suffirait que la personne demande une page situé à une adresse commencant par ftp:// ou http:// pour que tu ne soit plus du tout maitre de ce qui sera envoyé au navigateur.
Pire : s'ils demandent par exemple /etc/rc.conf sur un poste freebsd, il saura quels sont les services réseaux et les cartes réseau de l'ordi qui héberge ton site web. (si le site web à les droits d'accés sufisant)
Pire que ça, en demandant d'autres fichiers, il peut conaitre les logins de tous les utilisateurs de l'ordi et la version codé des mots de passes, (ce qui permet de trouver des mots de passe corespondant et ce sans être détecté par le serveur) les réglages du firewall, les différents réglages des systémes de login activé et des partages de fichiers ... Bref, il a potentiellement accés en lecture à tous les fichiers de ton serveur ce qui fait qu'a part si il y a que le serveur web d'ouvert vers l'extérieur et que le serveur web ne permet pas de modifier des fichiers, il poura faire ce qu'il veut de ton serveur.
Si tu veux limiter l'accés à une certaine page de ton site en plus du
Code :
- if ($_GET['page']=='page1')
- include('contenu.php');
|
il te faudra utiliser un systéme de login/mot de passe.