Au contraire le fait de mettre inc ou req permet de renforcer la sécurité. Mais à condition de dire au htaccess d'interdire l'accès direct à ces fichiers.
ex:
<Files *.inc*>
Order deny,allow
Deny from all
</Files>
Si on ne mets pas ce genre de règle, je pense que les pirates vont-être contents...
Cdt.
remijean
Messages postés3Date d'inscriptionmercredi 4 décembre 2013StatutMembreDernière intervention15 juillet 2015 5 déc. 2013 à 23:36
Salut akhenathon,
Merci pour tes critiques, bonnes ou mauvaises elles sont toujours utiles.
Par contre je ne suis pas d'accord php 4 est encore utilisable, de plus j'ai commencé le développement de Zwii en 2009.
Au niveau du .htaccess je bloque les accès au .inc et .ini, ils ne sont donc pas accessibles.
En tout cas merci pour ton avi !
Remi
akhenathon
Messages postés276Date d'inscriptiondimanche 22 juillet 2001StatutModérateurDernière intervention 5 décembre 2013 5 déc. 2013 à 20:07
Salut Remijean,
C'est dommage qu'il soit écrit en php4, c'est une version abandonnée pour les nouveaux développements...
Si je peux me permettre j'aimerais te conseiller quelques pistes d'améliorations :
- éviter de mettre les scripts à un niveau public
- éviter d'utiliser .inc ou .req car sur la majorité des servers on peut voir leur contenu en les appelant depuis une url
- éviter les .ini (le json est plus perf et plus portable) et surtout ne pas les mettre en public, actuellement on peut consulter la config à moins que tu le filtre au niveau apache
- utiliser du gettext pour les traductions, avec éventuellement la fonction dgettext pour gérer les trads par modules
En tout cas tu t'attaques à un très très gros sujet, donc bon courage et bonne continuation,
Akh
24 janv. 2014 à 19:42
Modifié par remijean le 6/01/2014 à 23:56
Modifié par cyr.havret le 5/01/2014 à 13:46
Au contraire le fait de mettre inc ou req permet de renforcer la sécurité. Mais à condition de dire au htaccess d'interdire l'accès direct à ces fichiers.
ex:
<Files *.inc*>
Order deny,allow
Deny from all
</Files>
Si on ne mets pas ce genre de règle, je pense que les pirates vont-être contents...
Cdt.
5 déc. 2013 à 23:36
Merci pour tes critiques, bonnes ou mauvaises elles sont toujours utiles.
Par contre je ne suis pas d'accord php 4 est encore utilisable, de plus j'ai commencé le développement de Zwii en 2009.
Au niveau du .htaccess je bloque les accès au .inc et .ini, ils ne sont donc pas accessibles.
En tout cas merci pour ton avi !
Remi
5 déc. 2013 à 20:07
C'est dommage qu'il soit écrit en php4, c'est une version abandonnée pour les nouveaux développements...
Si je peux me permettre j'aimerais te conseiller quelques pistes d'améliorations :
- éviter de mettre les scripts à un niveau public
- éviter d'utiliser .inc ou .req car sur la majorité des servers on peut voir leur contenu en les appelant depuis une url
- éviter les .ini (le json est plus perf et plus portable) et surtout ne pas les mettre en public, actuellement on peut consulter la config à moins que tu le filtre au niveau apache
- utiliser du gettext pour les traductions, avec éventuellement la fonction dgettext pour gérer les trads par modules
En tout cas tu t'attaques à un très très gros sujet, donc bon courage et bonne continuation,
Akh