Risques de sécurité liés aux includes ?
Risques de sécurité liés aux includes ? - PHP - Programmation
Marsh Posté le 20-10-2008 à 14:37:23
le problème c'est de faire attention à ce que tu inclus - être sûr que ça vient bien de toi.
---------------
Can't buy what I want because it's free -
Marsh Posté le 20-10-2008 à 14:56:55
si faille il y a, le visiteur pourrait effacer/modifier des fichiers à distance.
si tu fais un include($page)
il y a danger. car la page pourrait être appelée ainsi : index.php?page=httt://www.autresite.com/bla
le code sera donc exécuté.
le plus simple si tu as peux de pages est de faire un bête switch...
Message édité par jagstang le 20-10-2008 à 14:57:10
---------------
What if I were smiling and running into your arms? Would you see then what I see now?
Marsh Posté le 20-10-2008 à 16:04:00
Bah tant que tu fais des include statiques, tu ne devrais pas avoir de problèmes : ex include("./inc/script.php" ).
La seule méthode pour qu'un pb intervienne à ce niveau est de disposer du mdp serveur.
Marsh Posté le 20-10-2008 à 16:12:57
si tu as le mot de passe serveur, pas besoin de s'amuser avec des failles d'includes. Le dans ce cas c'est clair pas de soucis. C'est quand les includes se font de manière dynamique que le problème peut se poser
---------------
What if I were smiling and running into your arms? Would you see then what I see now?
Marsh Posté le 20-10-2008 à 17:11:59
Merci pour vos réponses 
Je comprends mieux 
Je ne fais que des include appelant des fichiers situés sur mon hébergement. Aucun fichier ne provient d'un serveur extérieur ! C'est pour ça, je pense que c'est sûr a priori.
Marsh Posté le 20-10-2008 à 17:40:52
allow_url_fopen=false;
Tout simplement aller droit au but
---------------
Photos Panoramiques Montagnes Haute Savoie
Sujets relatifs:
- Javascript : Utilisation d'includes dynamiques [Javascript avancé]
- Problème : Requetes SQL Serveur liés à Access
- PhpMyAdmin, config.inc.php et sécurité d'accès
- sécurité du phpsessions
- Sécurité site comercial et structure du code
- Base de données distante. Sécurité ?
- champs liés entre 2 tables (mysql)
- encodage caractères+problème sécurité
- Injections SQL et htmlspecialchars() + sécurité de mon appli
- Erreur de sécurité avec URLLoader
Marsh Posté le 20-10-2008 à 14:27:51
Bonjour,
Je suis en train de faire un site. Mes pages sont divisées en nombreuses parties qui sont autant de fichiers séparés. La page php appelle toutes ces parties grâce à la fonction include. L'internaute reçoit une page composée côté serveur.
Ca fonctionne très bien seulement voila, en lisant un tutoriel, je suis tombé là-dessus :
Si quelqu'un parvient à inclure une page PHP dont vous n'êtes pas l'auteur, vous ne pouvez pas savoir ce que contient cette page. Quelqu'un de malveillant pourrait alors très facilement faire faire n'importe quoi au PHP de votre serveur !
Si vous ne faites pas très attention au code que vous écrivez, votre site web sera vulnérable et il sera assez facile de récupérer votre mot de passe MySQL par exemple...
Je ne vois pas en quoi les includes constituent un risque pour la sécurité d'un site, car :
- le visiteur reçoit du html,
- si quelqu'un peut modifier mes pages php, il pourrait aussi bien modifier des pages html pour hacker le contenu de mon site.
Pourriez-vous m'expliquer en quoi les includes pourraient être une menace pour la sécurité de mon site, svp ?
Merci