Sécuriser un fichier confidentiel .txt

Sécuriser un fichier confidentiel .txt - PHP - Programmation

Marsh Posté le 09-09-2007 à 22:56:58    

Bonsoir,
 
Je voudrais savoir comment sécuriser un fichier txt dans lequel j'ai stocké des données confidentielles via un formulaire.
Je ne voudrais pas qu'il soit accessible via le navigateur ou encore si l'on copie le site sur un dd.
L'hébergeur est lycos.
 
Merci d'avance,

Reply

Marsh Posté le 09-09-2007 à 22:56:58   

Reply

Marsh Posté le 09-09-2007 à 23:25:15    

Bonjour,
 
Pourquoi l'avez-vous mis sur un server public ?
Est-ce pour qu'il soit consultable par quelques personnes autorisées ou est-ce pour une sauvegarde ?
Si c'est une sauvegarde, une bonne solution est de l'encrypter avec un mot de passe. PKZip peut le faire, ainsi que d'autres utilitaires.

Reply

Marsh Posté le 09-09-2007 à 23:46:59    

Protège le répertoire avec un .htaccess (si c'est supporté par Lycos, jamais utilisé). Mais bon, un fichier confidentiel sur un ftp public...

Reply

Marsh Posté le 10-09-2007 à 14:17:48    

Merci à tous les deux pour vos réponses.
Je ne comprends pas : quelle est la différence entre un ftp privé et un ftp public?
Le fichier comportera les coordonnées d'utilisateurs.
Il ne s'agit ni d'une sauvegarde ni d'une consultation restreinte.
Je suppose que le script et le fichier txt doivent être placés à l'extérieur de la racine du site?

Reply

Marsh Posté le 10-09-2007 à 21:48:26    

Donc c'est un fichier que tu utilises comme on utiliserait une base de donnée :??:
 
Penches toi peut être de ce côté si oui ;)
 
Si ça nécessite pas tant que ça, suffit d'en interdire l'accès via htaccess si sous unix :spamafote:

Reply

Marsh Posté le 10-09-2007 à 21:54:17    

Merci leflos5.
C'est exact je m'en sers comme d'une bdd puisque j'y stocke des informations que je réutilise par la suite mais que l'internaute ne doit pas connaître dans son intégralité.
Si je place le fichier txt et le script dans le répertoire principal et non pas à la racine, est-ce que quelqu'un peut y avoir accès?

Reply

Marsh Posté le 10-09-2007 à 22:42:18    

Si tu interdis l'accès à ce fichier au niveau du serveur web, personne ne pourra y accéder par le web :spamafote:
 
Ca te laisse la possibilité d'y accéder par le système de fichier et les fonctions adéquates en php.
 
Après si y'a des failles dans tes scripts je te garantis rien, mais via http impossible si tu dis à apache de ne pas le faire :)

Reply

Marsh Posté le 10-09-2007 à 22:52:16    

Citation :


Si tu interdis l'accès à ce fichier au niveau du serveur web, personne ne pourra y accéder par le web


 
oui mais qu'en est-il du script?
Va-t-il s'exécuter s'il est en dehors de la racine? (mais tjrs dans le répertoire principal)
 

Citation :


si tu dis à apache de ne pas le faire


 
Je n'ai pas de serveur apache perso, c'est celui de lycos. Tout ce que je peux faire c'est placer un fichier .htaccess
Mais bon si le fichier est en dehors de www, comment un utilisateur averti peut-il y avoir accès? Si le site est aspiré, est-ce que c'est sslt le www ou tout le répertoire principal?
 

Citation :

Après si y'a des failles dans tes scripts


 
A quoi penses-tu par exemple?
 
Au fait, si qq'un lit le script, il lira le chemin d'accès au fichier txt en dehors du répertoire racine. Est-ce que cela pose un problème pour la sécurité?
 

Reply

Marsh Posté le 10-09-2007 à 23:10:19    

lousixtyfour a écrit :


 
oui mais qu'en est-il du script?
Va-t-il s'exécuter s'il est en dehors de la racine? (mais tjrs dans le répertoire principal)


Pardon j'avais pas tilté :D Tu le laisses dans l'arborescence du site ça pose pas de soucis.

Citation :


Je n'ai pas de serveur apache perso, c'est celui de lycos. Tout ce que je peux faire c'est placer un fichier .htaccess


C'est dans le htaccess que tu définis les règles pour le répertoire courant.
 

Citation :


Mais bon si le fichier est en dehors de www, comment un utilisateur averti peut-il y avoir accès? Si le site est aspiré, est-ce que c'est sslt le www ou tout le répertoire principal?


Il pourra pas via http, donc toi non plus via des redirections http par exemple.

Citation :

A quoi penses-tu par exemple?


Rien de particulier, c'est juste que si tu te sers de variable non filtrées pour des trucs comme ça, on peut toujours envisager un dérapage de ce que tu avais précu surtout si tu prévois de gestion d'erreur, de tests de tout... C'est juste un avertissement au code propre et bien filtré ;)
 

Citation :


Au fait, si qq'un lit le script, il lira le chemin d'accès au fichier txt en dehors du répertoire racine. Est-ce que cela pose un problème pour la sécurité?


Non puisqu'il ne devrait pas pouvoir lire ce code, dans le cas extrême il pourra pas accéder au fichier en dehors du répertoire racine du site.
 
Néanmoins s'il arrive à faire péter le code, c'est qu'il est surement capable de faire péter le serveur et y accéder via des moyens détourner donc à ce niveau de toutes façons :D
 
 
 
Au final l'idéal, si t'es un peu parano, tu peux mais ton fichier hors de portée du site comme ça pas de questions à se poser.
Sinon tu peux en interdire simple l'accès en le laissant là où il doit être et ça évite d'avoir du bordel dans tous les sens.
 
 
Bref on parlotte pas mal pour pas grand chose! htaccess

Code :
  1. <Files ton_fichier.txt>
  2. deny from all
  3. </Files>

Reply

Marsh Posté le 11-09-2007 à 20:58:04    

oki
ça marche    :bounce:

Reply

Marsh Posté le 11-09-2007 à 20:58:04   

Reply

Marsh Posté le 11-09-2007 à 22:38:11    

Tu veux dire que ça fonctionne correctement :whistle:

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed