PHP

Risques de sécurité liés aux includes ?

Recherche :

Mot : Pseudo : Filtrer
Bas de page
Auteur	Sujet : Risques de sécurité liés aux includes ?

kissa

Bonjour,

Je suis en train de faire un site. Mes pages sont divisées en nombreuses parties qui sont autant de fichiers séparés. La page php appelle toutes ces parties grâce à la fonction include. L'internaute reçoit une page composée côté serveur.

Ca fonctionne très bien seulement voila, en lisant un tutoriel, je suis tombé là-dessus :
Si quelqu'un parvient à inclure une page PHP dont vous n'êtes pas l'auteur, vous ne pouvez pas savoir ce que contient cette page. Quelqu'un de malveillant pourrait alors très facilement faire faire n'importe quoi au PHP de votre serveur !
Si vous ne faites pas très attention au code que vous écrivez, votre site web sera vulnérable et il sera assez facile de récupérer votre mot de passe MySQL par exemple...

Je ne vois pas en quoi les includes constituent un risque pour la sécurité d'un site, car :
- le visiteur reçoit du html,
- si quelqu'un peut modifier mes pages php, il pourrait aussi bien modifier des pages html pour hacker le contenu de mon site. :??:

Pourriez-vous m'expliquer en quoi les includes pourraient être une menace pour la sécurité de mon site, svp ?
Merci :jap:

Publicité

skeye

le problème c'est de faire attention à ce que tu inclus - être sûr que ça vient bien de toi.

---------------
Can't buy what I want because it's free -

jagstang

Pa Capona ಠ_ಠ

si faille il y a, le visiteur pourrait effacer/modifier des fichiers à distance.
si tu fais un include($page)

il y a danger. car la page pourrait être appelée ainsi : index.php?page=httt://www.autresite.com/bla

le code sera donc exécuté.
le plus simple si tu as peux de pages est de faire un bête switch...

Message édité par jagstang le 20-10-2008 à 14:57:10

---------------
What if I were smiling and running into your arms? Would you see then what I see now?

m_ologin

Bah tant que tu fais des include statiques, tu ne devrais pas avoir de problèmes : ex include("./inc/script.php" ).

La seule méthode pour qu'un pb intervienne à ce niveau est de disposer du mdp serveur.

jagstang

Pa Capona ಠ_ಠ

si tu as le mot de passe serveur, pas besoin de s'amuser avec des failles d'includes. Le dans ce cas c'est clair pas de soucis. C'est quand les includes se font de manière dynamique que le problème peut se poser

---------------
What if I were smiling and running into your arms? Would you see then what I see now?

kissa

Merci pour vos réponses :jap:

Je comprends mieux

Je ne fais que des include appelant des fichiers situés sur mon hébergement. Aucun fichier ne provient d'un serveur extérieur ! C'est pour ça, je pense que c'est sûr a priori.

grosbin

OR die;

allow_url_fopen=false;
Tout simplement aller droit au but

---------------
Photos Panoramiques Montagnes Haute Savoie

FORUM HardWare.fr

Programmation

PHP

Risques de sécurité liés aux includes ?

Sujets relatifs
Javascript : Utilisation d'includes dynamiques [Javascript avancé]	Problème : Requetes SQL Serveur liés à Access
PhpMyAdmin, config.inc.php et sécurité d'accès	sécurité du phpsessions
Sécurité site comercial et structure du code	Base de données distante. Sécurité ?
champs liés entre 2 tables (mysql)	encodage caractères+problème sécurité
Injections SQL et htmlspecialchars() + sécurité de mon appli	Erreur de sécurité avec URLLoader
Plus de sujets relatifs à : Risques de sécurité liés aux includes ?

Page générée en 0.026 secondes