salut,
j'ai une grosse frousse tout à coup :
si qqun sur son site fait un include de mon fichier où je mets les infos pour la connexion à ma base MySQL avec donc des variables PHP :
config.php

 
est-il possible qu'il voit ces infos ?

 
tant qu'il n'a pas accès à ton site, dès qu'il demandera une fichier, pour un include ou autre, ça passe par le serveur HTTP donc le .php est exécuté avant l'envoie. Il ne recevra donc rien.

et si le PHP désactivé sur mon serveur et que lui fait un include avec du javascript par exemple, làa c mort pour moi. Mais bon, à partir du moment où je désactive le PHP sur mon serveur, on peut voir tout mon code.

 
oui surtout que ça n'a rien avoir avec le javascript... le serveur HTTP se fout complètement de qui reçoit sa réponse...  
Mais c'est vrai que si tu désactives PHP, ton code apparaîtra en clair

[jfdsdjhfuetppo]--Message édité par Tentacle--[/jfdsdjhfuetppo]

jai eu cette frousse moi aussi j'ai fait plein de test, et t'inquiete pas ils ont pensé a tout zorglub  
maintenant si tu veux etre sur a 100% fait comme moi renomme ton fichier config.php en autre chose genre  
 
hardware.fr.cfg.php
 
mais de toute facon les variablable contenue dedans ne sont pas evoyee en dehors du serveur...
a moins que le gars ai deja tes password de ton site ( mais ca ca reste a confirmer , j'en suis pas sur )  
A+

 
si tu désactives le php, pas besoin de faire un include, un simple accès direct à l'url de ton fichier suffit à l'afficher dans n'importe quel browser.
 
Ce qu'il faut veiller à faire c'est que personne ne puisse faire exécuter son sript sur ton serveur.
 
adresse de référence : http://www.newshackers.com/index.p [...] /faillephp

ah put1 je pensais pas qu'on pouvait faire des includes sur des fichiers distants

kayasax a écrit a écrit : ah put1 je pensais pas qu'on pouvait faire des includes sur des fichiers distants

 
hé si
PHP PoWA

trop fort !

trop fort, bof, moi je trouve pas ça cool du tout.
Mais maintenant que je le sais (merci ethernal) je fais gaffe à mes include.

Ce que je te conseille de faire, c'est de donner une extension .inc à des fichiers include. Ensuite tu confgures Apache pour qu'il interdise l'accès à tout tes fichiers .inc, avec un truc du genre :

 
C'est bien plus sûr que le coup du ".inc.php", qui ne sert plus à rien si PHP tombe. Là au moins, soit Apache tourne et il ne sert pas ces fichiers, soit il ne tourne pas et... Il ne sert aucun fichiers

plus simple, tu trouves un VRAI hébergeur avec un minimum de sécurité (interdiction des include en externes)
 
perso j'arrive pas à inclure un seul fichier à partir de chez moi ou d'un autre site.

en effet Sh@rdar, depuis chez moi les include externe ne marchent pas (j'avais donc conclue rapidement que ct le cas général) mais chez mon hébergeur, ça marche et pourtant, c'est un hébergeur pro (je paye 36 ?/an, donc c'est premier prix mais j'ai pas 10 000 visites par jour non plus)

 
quelle est la config d'apache pour interdire un include externe ? ça peut toujours servir  

c'est un parametre a changer ds php.ini ??

oui, mais lequel ? open_basedir ? allow_url_fopen off ?
 
http://www.securereality.com.au/ar [...] carlet.txt