Empecher l'execution de php avec un includeRésolu

Question

Bonjour à tous, voilà la question va peut etre vous paraitre stupide, mais lorsqu'on fait un include en php, est ce que le code php de la page incluse est interprété. C'est à dire est ce qu'un hacker peut écrire du code php dans une page (à des fins ) et lorsqu'il l'upload sur mon site et que j'affiche sa page avec include, son code sera t'il executé ?? (je pense que oui... ) Si oui comment l'empecher ?? Je pensais à un str_replace() qui remplace les balises php (et asp et javascript au passage) par du vide, mais le problème c'est que la page que j'inclus est un tutoriel de programmation, donc si c'est un tutoriel sur du php il faut bien que l'auteur du tutoriel puisse écrire les balises sans que cela soit interprété voyez-vous... Et cela me semble possible car il est bien possible d'afficher les caractères dans cette page, ceux-ci ne sont pas interprétés par le serveur (bien que ça soit de l'asp ici ...) Donc que faire ?? Je vous remercie grandement de votre aide.. (et au fait ce problème est le meme pour les commentaires d'un forum par exemple, car je voudrais la meme protection dans mon forum) Ciaò MadMatt http://matthieu.napoli.neuf.fr/wintools.html

cs_Anthomicro · Accepted Answer

Salut, oui, le PHP sera exécuté.

Entraide, dépannage et vulgarisation informatique: Mon site de vulgarisation informatique

cs_Isengard · Answer

Si tu souhaites empecher un hacker d'inclure un fichier externe il faut
que tu pr&#233;voye les quelques fichiers qui seront les seuls &#224; pouvoir
&#234;tre inclus. Par exemple, tu passes une variable en param&#232;tre avec la
m&#233;thode get : url= mapage.php?action=pagetutotiel



Et sur mapage.php &#224; l'endroit ou tu include, tu fais un switch pour
tester la valeur de action sur toutes les valeurs possibles :



switch($action) {

    case "index" :

        include("index.php");

        break;

    case "pagetutoriel" :

        include("pagetutoriel.php");

        break;

    case ...

        ...    

        ...

    default :

        include("erreur.php");

        break;

}



L'inclusion passe par le switch et la page incluse d&#233;pend de la valeur
de $action. Si action a une valeur qui n'est pas pr&#233;vue par ton code,
ca va en d&#233;faut et ca affiche une erreur. Et comme &#231;a c'est s&#233;curis&#233; !
(on peut aussi utiliser la methode pour prevoir des traitements masi ca
devient lourd apres :) )


"Celui qui brise une chose pour d&#233;couvrir ce que c'est a quitt&#233; le chemin de la sagesse"

cs_garfield90 · Answer

Salut,



n'utilise pas un include et parse ton fichier afin que t'es <?php
deviennent des &lt;php et ?> des ?&gt;, comme ca ton
probleme est r&#233;solu.



Ou alors tu ouvres le fichier au chargement est tu parses ton fichier afin de faire le remplacement des balises puis include

"They are 10 sorts of persons whose understand binary and whose not"

malalam · Answer

Hello,



ouais enfin, y a plus simple quand meme ;-)

highlight_file ()



http://de2.php.net/manual/en/function.highlight-file.php

MadM@tt · Answer

Mince je suis d&#233;sol&#233;, j'avais compl&#233;tement oubli&#233; que j'avais chang&#233; la m&#233;thode pour afficher la page...

En fait j'utilise pas un include, j'utilise un iframe 



donc je voulais savoir si le php sera execut&#233; dans la page contenue dans mon frame (elle se trouve sur le meme serveur) ?



Et pour "parser" un fichier, on fait comment ? C'est quoi parser un fichier ?



Merci en tout cas pour vos r&#233;ponses si rapides



Malalam >> J'ai regard&#233; la doc de cette fonction &#231;a &#224; l'air de me
convenir, seulement comment faire la meme chose pour une page qui est
dans un iframe ? Parce que cette page peut ouvrir d'autres liens (enfin
&#231;a fait comme un petit navigateur interne &#224; la page...) donc il faudra
refaire cette m&#233;thode &#224; chaque changement de page... Et &#231;a risque de me
colorier des mots, des phrases aussi non ?

Cia&#242; 
MadMatt
http://matthieu.napoli.neuf.fr/wintools.html

MadM@tt · Answer

Merci, &#231;a c'est de la r&#233;ponse.

Alors j'ai r&#233;fl&#233;chi un petit peu  et jme suis dis que si j'autorise juste les fichiers d'extension .htm et .html &#224; s'afficher c'est bon alors ?

Aucun php execut&#233; parce que &#231;a n'est pas dans la page .php que ce code se trouvera, mais dans une page .htm

Cia&#242; 
MadMatt
http://matthieu.napoli.neuf.fr/wintools.html

cs_Anthomicro · Answer

tout à fait (pour peu que le serveur n'interprète pas, ce qui est généralement le cas, les extensions .htm) mais bon tu prends quand même des risques, si tu fais un include d'un fichier (qu'il porte n'importe quelle extension) et qu'il contient du code php, le php sera exécuté. Ainsi si ta page html contient ça : ça sera affiché ^^

Entraide, dépannage et vulgarisation informatique: Mon site de vulgarisation informatique

MadM@tt · Answer

Oui oui je vois, mais la il s'agit d'un iframe donc &#224; priori c'est bon
si le serveur n'executera pas le php qui pourrait etre contenu dans une
page .htm...



Merci beaucoup pour vos infos 

Cia&#242; 
MadMatt
http://matthieu.napoli.neuf.fr/wintools.html

cs_Anthomicro · Answer

ok si tu passes par une iframe (beurk) ça sera une page html normale et donc non exécutée

Entraide, dépannage et vulgarisation informatique: Mon site de vulgarisation informatique

MadM@tt · Answer

Ok merci

Non mais le iframe &#231;a a une explication bien pr&#233;cise c'est pas juste du bricolage lol c'est pas beurk dans ce cas

Au contraire &#231;a rend super bien...

Cia&#242; 
MadMatt
http://matthieu.napoli.neuf.fr/wintools.html

cs_Anthomicro · Answer

si tu le dis ^^ a +

Entraide, dépannage et vulgarisation informatique: Mon site de vulgarisation informatique

Empecher l'execution de php avec un include

11 réponses

Votre réponse

Discussions similaires