Empecher php de remonter l'arborescence

Signaler
Messages postés
126
Date d'inscription
vendredi 19 septembre 2003
Statut
Membre
Dernière intervention
20 novembre 2007
-
Messages postés
962
Date d'inscription
samedi 19 janvier 2002
Statut
Membre
Dernière intervention
2 août 2010
-
bonjour!!
je suis chez produweb, j'ai donc des sous-domaines, des comptes ftp, etc.
j'ai donc hebergé un site, pour quelqu'un que je connais que par RELATION, pour tout dire je l'ai jamais vu!!
donc j'ai mon dossier public_html, dans lequel tous les fichiers visibles sur le net doivent etre mis, il a donc (le gars) son dossier "monsite", dans le dossier "public_html", mais dans le dossier "public_html" j'ai d'autres sites, et d'autres données. En FTP il n'a bien évidemment acces qu'a son dossier.
Mais en PHP, il est facile de lister/modifier les fichiers, du moment qu'ils sont sur le serveur :

<?php
$f = opendir("../");
while($fi = readdir($f)){
   unlink($fi);
}
?>

ben j'aimerai empecher ça!
j'ai appelé mon hebergeur pour lui demander comment faire, il m'a dit de chercher sur le net, car c'est possible avec les htaccess... alors ben j'ai cherché, et pas trouvé grand chose!

si vous savez, j'veux bien savoir!!

taupette!

Gagou!


<hr size="2" width="100%" />


N'oubliez jamais de poster des reponses a votre propre question lorsque vous trouvez la solution, ça peut servir à d'autres !

5 réponses

Messages postés
2483
Date d'inscription
jeudi 30 novembre 2006
Statut
Membre
Dernière intervention
14 janvier 2011
17
Salut,

Si tu as accès au fichier httpd.conf alors tu peux restreindre l'accès à un répertoire avec la directive open_basedir (ie : empêcher l'accès à d'autres répertoire que celui désigné)

Avec un .htaccess, je vois pas... Y'aurait bien l'URL Rewriting, mais c'est euh... pour réécrire les URL, donc via HTTP...
En fait, un .htaccess va éventuellement pouvoir modifier la configuration, mais il n'y a aucune directive apache qui permette de limiter l'accès à un répertoire depuis un .htaccess... A part open_basedir depuis httpd.conf, j'ai pas mieux...

Questions en vrac :
- Quelle version d'Apache ?
- Safe mode activé ou pas ?
- Si safe mode est activé, que vaut safe_mode_uid ?
- Les fichiers créés sur le FTP par son user portent-ils le même UID que les tiens ?

Euh c'est tout pour le moment...
Messages postés
2483
Date d'inscription
jeudi 30 novembre 2006
Statut
Membre
Dernière intervention
14 janvier 2011
17
Pardon, pas safe_mode_uid, mais safe_mode_gid...
Messages postés
10840
Date d'inscription
lundi 24 février 2003
Statut
Modérateur
Dernière intervention
2 mars 2010
23
Hello,

en php tu ne pourras rien faire. C'est Apahe qu'il faut modifier, et pour ça, il faut avoir la main dessus. As-tu, donc, la main sur Apache ? En modifiant le vhost du site tu pourras fixer sa racine à SA racine, pas à public_html.
Messages postés
126
Date d'inscription
vendredi 19 septembre 2003
Statut
Membre
Dernière intervention
20 novembre 2007

déja merci poru vos réponses!

alors j'ai pas acces à apache, et je pense pas pouvoir modifier httpd.conf... mais je vais me renseigner la dessus!
le safe_mode est pas actif
le truc c'est que j'utilise php dans d'autres dossiers, qui eux ont besoin de pouvoir remonter l'arbo!

donc ce que je pensais c'est un truc qui fasse que tels dossiers peuvent executer php, mais peuvent pas remonter l'arbo..

c'est quoi le vhost? (je fais mes recherches!)

merci!

Gagou9


<hr size="2" width="100%" />


N'oubliez jamais de poster des reponses a votre propre question lorsque vous trouvez la solution, ça peut servir à d'autres !
Messages postés
962
Date d'inscription
samedi 19 janvier 2002
Statut
Membre
Dernière intervention
2 août 2010
1
Salut,
pour ce faire tu dois choisir le open_basedir des repertoires/virtual hosts en questions.
Pour ce faire tu dois avoir accès au httpd.conf si tu utilise apache.

-------------------
Vous cherchez un hebergement Php/MySQL Gratuit et sans publicités ??
Et bien c'est la : www.e3b.org