DEBAT : Faille Include et autres.

Signaler
Messages postés
58
Date d'inscription
mardi 30 décembre 2003
Statut
Membre
Dernière intervention
22 août 2007
-
Messages postés
103
Date d'inscription
dimanche 23 janvier 2005
Statut
Membre
Dernière intervention
3 septembre 2008
-
Bonjour tout le monde !

Alors voilà, je m'adresse principalement aux pros du php mais tout le monde peut participer ou poser ses question ici.
Voilà :

Je cherche à comprendre un max de systèmes de sécurités, or ayant créé un site avec énormément de include(quelquechose), j'entend de plus en plus parler de cette fameuse faille. Alors j'ai lancé Google, et chercher un maximum de renseignements sur cette faille, mais je n'ai rien trouvé, même sur les différents posts de ce site ...

Si vous pouviez m'expliquer quelle est cette faille exactement et comment la protéger, ce serait vraiment cool. De plus, c'est un débat, s'il y a d'autres failles n'hésitez pas à en parler.

MERCI !

10 réponses

Messages postés
2268
Date d'inscription
mercredi 27 novembre 2002
Statut
Membre
Dernière intervention
13 septembre 2013
3
Salut!

Bah en fait c'est quand tu as une page du genre:

index.php?page=mapage.php



Et que tu fais:

include( $_GET['page'] );

parce que, suivant la valeur qu'on donne à $page ca peut inclure un
script se trouvant sur un site distant ( ou sur ton serveur si on
connait la hierarchie ou bien réussi à uploader qqch ). Ce script peut,
par exemple, vider ton ftp.



Ce que tu fais c'est que tu passes une valeur correspondant à une page, genre:

index.php?page=page

index.php?page=accueil

index.php?page=contact



Et que tu associe à ca un fichier à inclure, par le biais d'un switch, d'un tableau associatif, ou autre.

Perso, j'utilise une table mysql, ce qui me permet d'avoir plusieurs
infos par page et d'incrémenter un nombre pour savoir quelles pages
sont les plus vues...



@++



R@f


www.allpotes.ch: Photos, humour, vidéos, gags, ...

"On dit que seulement 10 personnes au monde comprenaient Einstein. Personne ne me comprends. Suis-je un génie???"
Messages postés
58
Date d'inscription
mardi 30 décembre 2003
Statut
Membre
Dernière intervention
22 août 2007

En gros, comme j'utilise pleins de include('top.php') mais que le lien n'est juste index.php sans rien après, je ne crain rien ...
Messages postés
2268
Date d'inscription
mercredi 27 novembre 2002
Statut
Membre
Dernière intervention
13 septembre 2013
3
Salut!

Tant que un visiteur ne peut pas faire inclure un fichier à la place d'un autre, aucun pb.

Faut juste faire gaffe à ses variables, développer en erreurs à E_ALL et c'est tout bon! :)



@++



R@f

www.allpotes.ch: Photos, humour, vidéos, gags, ...

"On dit que seulement 10 personnes au monde comprenaient Einstein. Personne ne me comprends. Suis-je un génie???"
Messages postés
58
Date d'inscription
mardi 30 décembre 2003
Statut
Membre
Dernière intervention
22 août 2007

Encore une dernière question :

Mettons j'ai mon code :

<? include('top.php'); ?>

Bienvenue

Et que dans top.php, j'ai uniquement : Coucou

Si quelqu'un regarde le code de ma page, il vera quoi ?

1)

<? include('top.php'); ?>

Bienvenue

ou

2)

Coucou

Bienvenue

Merci !
Messages postés
392
Date d'inscription
mercredi 24 novembre 2004
Statut
Membre
Dernière intervention
26 septembre 2009

Salut, tu n'a cas essayer !


<HR width="100%" SIZE=2>
Si un des membres à poster une reponse qui convient, accepter là !
Messages postés
2268
Date d'inscription
mercredi 27 novembre 2002
Statut
Membre
Dernière intervention
13 septembre 2013
3
:)

Dans le premier cas, il verrait le code PHP et les mots de passe pour
la base de données, ca serait pas très sympa pour le webmaster, :)



@++



R@f



P.S. On utilise <?php et plus <? pour d'éventuels pbs de compatibilité sur certains serveurs

www.allpotes.ch: Photos, humour, vidéos, gags, ...

"On dit que seulement 10 personnes au monde comprenaient Einstein. Personne ne me comprends. Suis-je un génie???"
Messages postés
9433
Date d'inscription
mardi 9 octobre 2001
Statut
Membre
Dernière intervention
13 avril 2007
9
Salut,



Failles PHP



sinon pour ce qui est d'autres failles, t'as les failles de sql
injection (modifier une requête en ajoutant des caractères spéciaux),
les failles de défaçage (xss il me semble) du genre taper
<textarea> dans un formulaire et t'as ça qui s'affiche (mais qui
est pris en compte au lieu de transformer les < et > en &lt;
et &gt; etc...

<hr size="2" width="100%"><li>Entraide, dépannage et vulgarisation informatique : Mon site de vulgarisation informatique</li>
Messages postés
58
Date d'inscription
mardi 30 décembre 2003
Statut
Membre
Dernière intervention
22 août 2007

EXCELLENT TON SITE !!!!!!!!!!!!
Messages postés
9433
Date d'inscription
mardi 9 octobre 2001
Statut
Membre
Dernière intervention
13 avril 2007
9
merci :-)

<hr size="2" width="100%"><li>Entraide, dépannage et vulgarisation informatique : Mon site de vulgarisation informatique</li>
Messages postés
103
Date d'inscription
dimanche 23 janvier 2005
Statut
Membre
Dernière intervention
3 septembre 2008

Ouais je l'aime bien il est bien foutu le site. Sinon pour les failles, c'est pas évident de tout comprendre :/