Bonjour
 
voila j'ai une question peut etre bète mais bon ...
Sur mon site j'ai dans des fichiers php des codes confidentiels.
Je voudrait savoir s'il est possible qu'une personne mal intentionnée accède au code source de ces fichiers.
 
Je pense que la réponse est non car le php est exécuter coté serveur mais je préfère quand meme avoir confirmation.
 
merci

a priori non, mais on est jamais a l'abris d'une faille de securité de apache ou d'une erreur de codage...

Exacte, si tu as un truc genre $var = 'Madonnéeconfidentielle';
 
Il y a vraiment peu de chances qu'on puisse la lire ... A moins que vraiment tu laisses des trou de secu enormes .. Parcontre il faudra voir si les acces FTP sont protégés comme il le faut, et mettre a jour regulierement apache

+1
 
Si apache ou php tombent (et ça arrive) le code est visible en clair. Quand on stock du pwd, on s'arrange pour stocker un md5, c'est la moindre des choses...

bon c'est bien ce que je pensait
 
maintenant pour les MAJ, je peux pas grand chose, c'est pas mon serveur (hébergement mutualisé)

md5 donc.

 
bah oui mais c'est pas toujour possible
 
par exemple j'ai un script (sur un serveur distant) qui se connecte mon mon ftp (chez moi), je suis bien obliger d'indiquer quelque part les login/pass du ftp.

 
Si apache tombe le probleme est reglé parcequ'il y a plus d'acces http ... Parcontre pour php ... C'est vrai que si ca plante c'est embetant ... mais est-ce possible de faire planter un module apache sans que apache crash aussi? .. Et s'il veut conserver des données confidentielles c'est pas forcemment possible de les crypter :  
 
Je veux crypter la formule ultra-secrete detruisant DW ... Si je la crypte en md5 je suis paré pour devoir me remettre a mes eprouvettes la prochaine fois que j'en ai besoin

normalement non : je suppose que c'est toi qui lance ton script depuis un ordi distant, donc le mieux c'est encore de rentrer le login/pwd via un formulaire, et si la connexion au socket reussi avec ses identifiants c'est bon, ainsi t'as rien à stocker

 
J'ai déjà vu apache bugguer. Et pour PHP, je l'ai déjà vu tomber aussi... T'es jamais tombé sur des sites qui te proposaient d'un coup de télécharger le php ?    

Demande aux admin de multimania d'il y a 4-5 ans à l'époque ou les scripts php étaient envoyé de temps en temps en clair jusqu'a la désactivation totale de leur module php.

Il y a une chose aussi que peut de personne y pense.
Eviter les fichier en .*inc il se pourrait qu'apache ne l'associe pas au php donc le fichier sera bien lu mais si ont tape http://monsite.com/fichier.inc ben tu verras le code source php.

C'est pour cette raison que mes scripts sont en *.inc.php . Et merci pour le renseignement sur le plantage de PHP

et si un fichier peut être uploadé alors un "cat" en php et t'es b**sé. Bref MD5 obligatoire (au minimum)

ah we tiens jai une section uplaod use mon site que deplace les fichiers vers /***/upload , upload. le gas upload un fichier php cat et hop.
cest quoi la solution alors ?

idem

 
vérifier le mime des fichiers uploadé ?