Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1343 connectés 

  FORUM HardWare.fr
  Programmation

  [PHP] pb de sécurité avec un include

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

[PHP] pb de sécurité avec un include

n°126471
z0rglub
Posté le 16-04-2002 à 09:47:41  profilanswer
 

salut,
j'ai une grosse frousse tout à coup :
si qqun sur son site fait un include de mon fichier où je mets les infos pour la connexion à ma base MySQL avec donc des variables PHP :
config.php

Code :
  1. <?
  2.      $cfgBase      = 'toto';
  3.      $cfgUser      = 'tata';
  4.      $cfgPassword  = 'titi';
  5.      $cfgHote      = 'localhost';
  6. ?>


 
est-il possible qu'il voit ces infos ?


---------------
Ma galerie photo créée avec Piwigo et hébergée sur Piwigo.com
mood
Publicité
Posté le 16-04-2002 à 09:47:41  profilanswer
 

n°126472
Tentacle
Posté le 16-04-2002 à 09:49:26  profilanswer
 

z0rglub a écrit a écrit :

salut,
j'ai une grosse frousse tout à coup :
si qqun sur son site fait un include de mon fichier où je mets les infos pour la connexion à ma base MySQL avec donc des variables PHP :
config.php

Code :
  1. <?
  2.      $cfgBase      = 'toto';
  3.      $cfgUser      = 'tata';
  4.      $cfgPassword  = 'titi';
  5.      $cfgHote      = 'localhost';
  6. ?>


 
est-il possible qu'il voit ces infos ?  




 
tant qu'il n'a pas accès à ton site, dès qu'il demandera une fichier, pour un include ou autre, ça passe par le serveur HTTP donc le .php est exécuté avant l'envoie. Il ne recevra donc rien.

n°126473
z0rglub
Posté le 16-04-2002 à 09:51:17  profilanswer
 

et si le PHP désactivé sur mon serveur et que lui fait un include avec du javascript par exemple, làa c mort pour moi. Mais bon, à partir du moment où je désactive le PHP sur mon serveur, on peut voir tout mon code.


---------------
Ma galerie photo créée avec Piwigo et hébergée sur Piwigo.com
n°126474
Tentacle
Posté le 16-04-2002 à 09:52:53  profilanswer
 

z0rglub a écrit a écrit :

et si le PHP désactivé sur mon serveur et que lui fait un include avec du javascript par exemple, làa c mort pour moi. Mais bon, à partir du moment où je désactive le PHP sur mon serveur, on peut voir tout mon code.  




 
oui surtout que ça n'a rien avoir avec le javascript... le serveur HTTP se fout complètement de qui reçoit sa réponse...  
Mais c'est vrai que si tu désactives PHP, ton code apparaîtra en clair :/

 

[jfdsdjhfuetppo]--Message édité par Tentacle--[/jfdsdjhfuetppo]

n°126966
SquiiiD
be cool !
Posté le 17-04-2002 à 11:00:44  profilanswer
 

jai eu cette frousse moi aussi j'ai fait plein de test, et t'inquiete pas ils ont pensé a tout zorglub ;)  
maintenant si tu veux etre sur a 100% fait comme moi renomme ton fichier config.php en autre chose genre  
 
hardware.fr.cfg.php
 
mais de toute facon les variablable contenue dedans ne sont pas evoyee en dehors du serveur...
a moins que le gars ai deja tes password de ton site ( mais ca ca reste a confirmer , j'en suis pas sur )  
A+

n°127038
ethernal
Chercheur de vérité...
Posté le 17-04-2002 à 12:53:22  profilanswer
 

z0rglub a écrit a écrit :

et si le PHP désactivé sur mon serveur et que lui fait un include avec du javascript par exemple, làa c mort pour moi. Mais bon, à partir du moment où je désactive le PHP sur mon serveur, on peut voir tout mon code.  




 
si tu désactives le php, pas besoin de faire un include, un simple accès direct à l'url de ton fichier suffit à l'afficher dans n'importe quel browser.
 
Ce qu'il faut veiller à faire c'est que personne ne puisse faire exécuter son sript sur ton serveur.
 
adresse de référence : http://www.newshackers.com/index.p [...] /faillephp

n°127046
kayasax
Posté le 17-04-2002 à 13:09:21  profilanswer
 

ah put1 je pensais pas qu'on pouvait faire des includes sur des fichiers distants :eek2:

n°127050
ethernal
Chercheur de vérité...
Posté le 17-04-2002 à 13:13:00  profilanswer
 

kayasax a écrit a écrit :

ah put1 je pensais pas qu'on pouvait faire des includes sur des fichiers distants :eek2:  




 
:lol: hé si ;)
PHP PoWA

n°127051
kayasax
Posté le 17-04-2002 à 13:14:20  profilanswer
 

trop fort !

n°127067
z0rglub
Posté le 17-04-2002 à 13:29:46  profilanswer
 

kayasax a écrit a écrit :

trop fort !  




trop fort, bof, moi je trouve pas ça cool du tout.
Mais maintenant que je le sais (merci ethernal) je fais gaffe à mes include.


---------------
Ma galerie photo créée avec Piwigo et hébergée sur Piwigo.com
mood
Publicité
Posté le 17-04-2002 à 13:29:46  profilanswer
 

n°127195
matafan
Posté le 17-04-2002 à 15:24:06  profilanswer
 

Ce que je te conseille de faire, c'est de donner une extension .inc à des fichiers include. Ensuite tu confgures Apache pour qu'il interdise l'accès à tout tes fichiers .inc, avec un truc du genre :

Code :
  1. <FilesMatch "\.inc$">
  2.     Order allow,deny
  3.     Deny from all
  4. </FilesMatch>


 
C'est bien plus sûr que le coup du ".inc.php", qui ne sert plus à rien si PHP tombe. Là au moins, soit Apache tourne et il ne sert pas ces fichiers, soit il ne tourne pas et... Il ne sert aucun fichiers :D

n°127199
Sh@rdar
Ex-PhPéteur
Posté le 17-04-2002 à 15:28:58  profilanswer
 

plus simple, tu trouves un VRAI hébergeur avec un minimum de sécurité (interdiction des include en externes)
 
perso j'arrive pas à inclure un seul fichier à partir de chez moi ou d'un autre site.


---------------
La musique c'est comme la bouffe, tu te souviens du restaurant dans lequel t'as bien mangé 20 ans plus tôt, mais pas du sandwich d'il y a 5 minutes :o - Plugin pour winamp ©Harkonnen : http://harko.free.fr/soft
n°127211
z0rglub
Posté le 17-04-2002 à 15:43:54  profilanswer
 

en effet Sh@rdar, depuis chez moi les include externe ne marchent pas (j'avais donc conclue rapidement que ct le cas général) mais chez mon hébergeur, ça marche et pourtant, c'est un hébergeur pro (je paye 36 ?/an, donc c'est premier prix mais j'ai pas 10 000 visites par jour non plus)


---------------
Ma galerie photo créée avec Piwigo et hébergée sur Piwigo.com
n°127231
ethernal
Chercheur de vérité...
Posté le 17-04-2002 à 16:08:48  profilanswer
 

Sh@rdar a écrit a écrit :

plus simple, tu trouves un VRAI hébergeur avec un minimum de sécurité (interdiction des include en externes)
 
perso j'arrive pas à inclure un seul fichier à partir de chez moi ou d'un autre site.  




 
quelle est la config d'apache pour interdire un include externe ? ça peut toujours servir :)  :jap:

n°127232
kayasax
Posté le 17-04-2002 à 16:09:27  profilanswer
 

c'est un parametre a changer ds php.ini ??

n°127254
ethernal
Chercheur de vérité...
Posté le 17-04-2002 à 16:32:41  profilanswer
 

oui, mais lequel ? open_basedir ? allow_url_fopen off ?
 
http://www.securereality.com.au/ar [...] carlet.txt


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Programmation

  [PHP] pb de sécurité avec un include

 

Sujets relatifs
[PHP] Quel Valeur Est Renvoyé Quand Une Checkbox Est Coché ?[PHP] requete SQL
Format de date avec PHP[PHP]Nombre aléatoires (Urgent)
Un INCLUDE en PHPEditeur PHP?
[SQL + PHP ] - Tirage aleatoire dans une db?[PHP] - Voir la vitesse de generation d'un page par le serveur
[PHP] - Supression de fichiers... 
Plus de sujets relatifs à : [PHP] pb de sécurité avec un include


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR