Zwii

Signaler
Messages postés
3
Date d'inscription
mercredi 4 décembre 2013
Statut
Membre
Dernière intervention
15 juillet 2015
-
Messages postés
295
Date d'inscription
vendredi 20 décembre 2002
Statut
Membre
Dernière intervention
24 janvier 2014
-
Cette discussion concerne un article du site. Pour la consulter dans son contexte d'origine, cliquez sur le lien ci-dessous.

https://codes-sources.commentcamarche.net/source/100276-zwii

Messages postés
295
Date d'inscription
vendredi 20 décembre 2002
Statut
Membre
Dernière intervention
24 janvier 2014
1
je trouve ce projet vraiment interressant
Messages postés
3
Date d'inscription
mercredi 4 décembre 2013
Statut
Membre
Dernière intervention
15 juillet 2015

Nouvelle version disponible. (réécrite en PHP5)
Bonjour,

Au contraire le fait de mettre inc ou req permet de renforcer la sécurité. Mais à condition de dire au htaccess d'interdire l'accès direct à ces fichiers.

ex:
<Files *.inc*>
Order deny,allow
Deny from all
</Files>

Si on ne mets pas ce genre de règle, je pense que les pirates vont-être contents...

Cdt.
Messages postés
3
Date d'inscription
mercredi 4 décembre 2013
Statut
Membre
Dernière intervention
15 juillet 2015

Salut akhenathon,
Merci pour tes critiques, bonnes ou mauvaises elles sont toujours utiles.

Par contre je ne suis pas d'accord php 4 est encore utilisable, de plus j'ai commencé le développement de Zwii en 2009.
Au niveau du .htaccess je bloque les accès au .inc et .ini, ils ne sont donc pas accessibles.

En tout cas merci pour ton avi !
Remi
Messages postés
276
Date d'inscription
dimanche 22 juillet 2001
Statut
Modérateur
Dernière intervention
5 décembre 2013

Salut Remijean,

C'est dommage qu'il soit écrit en php4, c'est une version abandonnée pour les nouveaux développements...

Si je peux me permettre j'aimerais te conseiller quelques pistes d'améliorations :

- éviter de mettre les scripts à un niveau public
- éviter d'utiliser .inc ou .req car sur la majorité des servers on peut voir leur contenu en les appelant depuis une url
- éviter les .ini (le json est plus perf et plus portable) et surtout ne pas les mettre en public, actuellement on peut consulter la config à moins que tu le filtre au niveau apache
- utiliser du gettext pour les traductions, avec éventuellement la fonction dgettext pour gérer les trads par modules

En tout cas tu t'attaques à un très très gros sujet, donc bon courage et bonne continuation,
Akh