Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
3033 connectés 

  FORUM HardWare.fr
  Programmation

  [PHP] pb de sécurité avec un include

 
 


Dernière réponse
Sujet : [PHP] pb de sécurité avec un include
ethernal oui, mais lequel ? open_basedir ? allow_url_fopen off ?
 
http://www.securereality.com.au/ar [...] carlet.txt

Votre réponse
Nom d'utilisateur    Pour poster, vous devez être inscrit sur ce forum .... si ce n'est pas le cas, cliquez ici !
Le ton de votre message                        
                       
Votre réponse
[b][i][u][strike][spoiler][fixed][cpp][url][email][img][*]   
 
   [quote]
 
Options

 
Vous avez perdu votre mot de passe ?


Vue Rapide de la discussion
ethernal oui, mais lequel ? open_basedir ? allow_url_fopen off ?
 
http://www.securereality.com.au/ar [...] carlet.txt
kayasax c'est un parametre a changer ds php.ini ??
ethernal

Sh@rdar a écrit a écrit :

plus simple, tu trouves un VRAI hébergeur avec un minimum de sécurité (interdiction des include en externes)
 
perso j'arrive pas à inclure un seul fichier à partir de chez moi ou d'un autre site.  




 
quelle est la config d'apache pour interdire un include externe ? ça peut toujours servir :)  :jap:

z0rglub en effet Sh@rdar, depuis chez moi les include externe ne marchent pas (j'avais donc conclue rapidement que ct le cas général) mais chez mon hébergeur, ça marche et pourtant, c'est un hébergeur pro (je paye 36 ?/an, donc c'est premier prix mais j'ai pas 10 000 visites par jour non plus)
Sh@rdar plus simple, tu trouves un VRAI hébergeur avec un minimum de sécurité (interdiction des include en externes)
 
perso j'arrive pas à inclure un seul fichier à partir de chez moi ou d'un autre site.
matafan Ce que je te conseille de faire, c'est de donner une extension .inc à des fichiers include. Ensuite tu confgures Apache pour qu'il interdise l'accès à tout tes fichiers .inc, avec un truc du genre :

Code :
  1. <FilesMatch "\.inc$">
  2.     Order allow,deny
  3.     Deny from all
  4. </FilesMatch>


 
C'est bien plus sûr que le coup du ".inc.php", qui ne sert plus à rien si PHP tombe. Là au moins, soit Apache tourne et il ne sert pas ces fichiers, soit il ne tourne pas et... Il ne sert aucun fichiers :D

z0rglub

kayasax a écrit a écrit :

trop fort !  




trop fort, bof, moi je trouve pas ça cool du tout.
Mais maintenant que je le sais (merci ethernal) je fais gaffe à mes include.

kayasax trop fort !
ethernal

kayasax a écrit a écrit :

ah put1 je pensais pas qu'on pouvait faire des includes sur des fichiers distants :eek2:  




 
:lol: hé si ;)
PHP PoWA

kayasax ah put1 je pensais pas qu'on pouvait faire des includes sur des fichiers distants :eek2:
ethernal

z0rglub a écrit a écrit :

et si le PHP désactivé sur mon serveur et que lui fait un include avec du javascript par exemple, làa c mort pour moi. Mais bon, à partir du moment où je désactive le PHP sur mon serveur, on peut voir tout mon code.  




 
si tu désactives le php, pas besoin de faire un include, un simple accès direct à l'url de ton fichier suffit à l'afficher dans n'importe quel browser.
 
Ce qu'il faut veiller à faire c'est que personne ne puisse faire exécuter son sript sur ton serveur.
 
adresse de référence : http://www.newshackers.com/index.p [...] /faillephp

SquiiiD jai eu cette frousse moi aussi j'ai fait plein de test, et t'inquiete pas ils ont pensé a tout zorglub ;)  
maintenant si tu veux etre sur a 100% fait comme moi renomme ton fichier config.php en autre chose genre  
 
hardware.fr.cfg.php
 
mais de toute facon les variablable contenue dedans ne sont pas evoyee en dehors du serveur...
a moins que le gars ai deja tes password de ton site ( mais ca ca reste a confirmer , j'en suis pas sur )  
A+
Tentacle

z0rglub a écrit a écrit :

et si le PHP désactivé sur mon serveur et que lui fait un include avec du javascript par exemple, làa c mort pour moi. Mais bon, à partir du moment où je désactive le PHP sur mon serveur, on peut voir tout mon code.  




 
oui surtout que ça n'a rien avoir avec le javascript... le serveur HTTP se fout complètement de qui reçoit sa réponse...  
Mais c'est vrai que si tu désactives PHP, ton code apparaîtra en clair :/

 

[jfdsdjhfuetppo]--Message édité par Tentacle--[/jfdsdjhfuetppo]
z0rglub et si le PHP désactivé sur mon serveur et que lui fait un include avec du javascript par exemple, làa c mort pour moi. Mais bon, à partir du moment où je désactive le PHP sur mon serveur, on peut voir tout mon code.
Tentacle

z0rglub a écrit a écrit :

salut,
j'ai une grosse frousse tout à coup :
si qqun sur son site fait un include de mon fichier où je mets les infos pour la connexion à ma base MySQL avec donc des variables PHP :
config.php

Code :
  1. <?
  2.      $cfgBase      = 'toto';
  3.      $cfgUser      = 'tata';
  4.      $cfgPassword  = 'titi';
  5.      $cfgHote      = 'localhost';
  6. ?>


 
est-il possible qu'il voit ces infos ?  




 
tant qu'il n'a pas accès à ton site, dès qu'il demandera une fichier, pour un include ou autre, ça passe par le serveur HTTP donc le .php est exécuté avant l'envoie. Il ne recevra donc rien.

z0rglub salut,
j'ai une grosse frousse tout à coup :
si qqun sur son site fait un include de mon fichier où je mets les infos pour la connexion à ma base MySQL avec donc des variables PHP :
config.php

Code :
  1. <?
  2.      $cfgBase      = 'toto';
  3.      $cfgUser      = 'tata';
  4.      $cfgPassword  = 'titi';
  5.      $cfgHote      = 'localhost';
  6. ?>


 
est-il possible qu'il voit ces infos ?


Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo

Copyright © 1997-2025 Groupe LDLC (Signaler un contenu illicite / Données personnelles)