Conseil include securisé

Conseil include securisé - PHP - Programmation

Marsh Posté le 14-08-2008 à 11:35:39    

Bonjour, mon problème est le suivant:
J'utilise la fonction include de php pr intégrer le header le menu et le corps  dans mon site...
Mais j'ai un problème de sécurité n'importe qui peu afficher une page sur mon site (pr me hacker par exemple...) est ce quelqu'un aurait une méthode pr empêcher qu'on me hack...
On ma conseillé d'utiliser un script qui utiliserais uniquement les pages prés enregistré dans le script mais j'ai un problème pr afficher mon forum l'include ne fonctionne pas...
donc je cherche une autre idée pr la sécurité...

Reply

Marsh Posté le 14-08-2008 à 11:35:39   

Reply

Marsh Posté le 14-08-2008 à 19:43:18    

tester via is_file(...), virer toute url (http://, https://, ftp:// ...) en début de chaine, éventuellement un basename($chaine) pour récupérer le nom du fichier ... après ça dépend de ce que tu veux réellement inclure et de la conception de ton appli.


---------------
NewsletTux - outil de mailing list en PHP MySQL
Reply

Marsh Posté le 14-08-2008 à 20:52:21    

Euh j'ai du oublier de préciser que j'ss un débutant en mode noob en PHP...
Alors en faite j'appel via mon menu en CSS (aussi dans un include) des pages soit html soit php dans l'include de corps du site.
 
Je vais dj chercher des infos avec ce que tu m'as donné comme fonction.
 

Reply

Marsh Posté le 15-08-2008 à 13:07:38    

@fred82  
 
Ton premier post concernant les sessions m'intéresse assez pr un autre projet mais ce sera pr plus tard.
 
En faite le forum n'est pas de moi (j'ss pas capable d'utiliser correctement les conditions et les boucles pr faire un forum moi-même). J'utilise phpbb2 qui fonctionne très bien avec un iframe xhtml mais avec un include pseudo frame (sécurisé comme j'ai pu) je ne pouvais plus l'afficher dans le corps de mon site... La méthode de sécurité dont je parle correspond à celle de ton second poste...
 
Ce que je veux faire au final c'est empecher que l'on puisse afficher des pages venant d'un autre FTP sur mon site en utilisant une url proche de celle que j'utilise monsite/page.php?inlude=ftp://XXX.XXX.XXX/hackpasswordmysql.php
 
Si tu te sent l'envie de m'aider je posterai le code php que j'utilise pr la sécurité...

Reply

Marsh Posté le 27-08-2008 à 12:46:20    

allow_url_fopen=Off  
Doit être placé comme valeur par défaut dans ton php.ini
si ça marche pas is_file suffit amplement
 
Tu peux aussi rejeter les REQUEST_URI qui comportent ("tp:" )


---------------
Photos Panoramiques Montagnes Haute Savoie
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed