coucou747
Messages postés12303Date d'inscriptionmardi 10 février 2004StatutMembreDernière intervention30 juillet 201244 13 sept. 2005 à 17:43
j'ai posté une source pour ça : UPLOAD ... elle montrais plus ce qu'il ne faut pas faire... mais bon, c'est déja un bon début....
Toolsweb
Messages postés50Date d'inscriptiondimanche 24 avril 2005StatutMembreDernière intervention17 février 2006 12 sept. 2005 à 23:58
Bah je commence a perdre la raison... faire un site sur la sécurité sans meme savoir sécuriser le mien...lol
Si quelqu'un pourrait me montrer comment bloquer les fichiers .bat, .exe .torrent .php .asp .zip .var etc
sa serais apprécié merci.
coucou747
Messages postés12303Date d'inscriptionmardi 10 février 2004StatutMembreDernière intervention30 juillet 201244 12 sept. 2005 à 21:04
j'ai hésité à faire ce style de choses, mais j'ai trouvé le site joli, alors je trouvais que ça aurait été gacher tt son charme... vu les fonctionalitées, à mon avis, il existe d'autres failles....
cs_Anthomicro
Messages postés9433Date d'inscriptionmardi 9 octobre 2001StatutMembreDernière intervention13 avril 20078 12 sept. 2005 à 20:53
"Une fois que tu auras sécurisé ton script, penses bien à sécuriser aussi ton site. Je t'envoie ton mot de passe admin par message privé."
> LOL, c'est sympa de l'avoir prévenu :-)
coucou747
Messages postés12303Date d'inscriptionmardi 10 février 2004StatutMembreDernière intervention30 juillet 201244 12 sept. 2005 à 20:44
"Je pense que tu peux aussi interdire à Apache d'exécuter n'importe quel fichier dans ce répertoire."=> selon moi, ça peut être possible, en les mettant dans une autre virtualhost sous apache2 ou dans un autre directory dans nimporte quel apache...
massacr
Messages postés233Date d'inscriptionvendredi 2 juillet 2004StatutMembreDernière intervention 4 janvier 2007 12 sept. 2005 à 20:38
lol
Une fois que tu auras sécurisé ton script, penses bien à sécuriser aussi ton site. Je t'envoie ton mot de passe admin par message privé.
Eh oui, il ne suffit pas de bloquer les fichiers zip, et exe, il faut aussi bloquer les php, bat, etc... Ainsi que les .torrents, car certains ce servent de ton serveur pour héberger des torrents qui, étant donnés leur titres, n'ont rien à faire sur le site d'un garcon de 13 ans.
Voilà, bien évidemment je n'ai rien abimé sur ton site.
Mais, sans etre ironique, c'est vachement sympa de permettre aux internautes d'héberger leurs fichiers, mais limite les aux images, et aux documents texte... Je pense que tu peux aussi interdire à Apache d'exécuter n'importe quel fichier dans ce répertoire.
A+ et bonne continuation.
coucou747
Messages postés12303Date d'inscriptionmardi 10 février 2004StatutMembreDernière intervention30 juillet 201244 11 sept. 2005 à 21:46
moi ce que je trouve bien, c'est qu'il ai fait une mise à jour, donc, il a envie de s'améliorer, mais faut pas non plus dire que cette source est super jolie...
proposer un upload, c'est simple, mais sécuriser tt ça l'est moins... ici, on peut uploader ce que l'on veut...
cs_MATHIS49
Messages postés368Date d'inscriptionvendredi 10 octobre 2003StatutMembreDernière intervention14 mai 20101 11 sept. 2005 à 21:38
Bon, je vais aller à contre courant (comme d'hab) et je vais te féliciter car pour un petit garcon de 13 ans c'est un bon début , certe ton code peut être amélioré mais lorsqu'on commence on fait rarement les choses bien du premier coup.
Donc persevere et tu arriveras à quelque chose ;)
Bon courage !
FhX
Messages postés2350Date d'inscriptionmercredi 13 octobre 2004StatutMembreDernière intervention18 avril 20153 11 sept. 2005 à 20:30
" Oui peut-etre que Beurk mais ton truc marche pas...donc peut-etre pas si beurk que ça finalement."
Ah sisi, mais c'est moi qui ai mal lu.
Tu fais une opération de suppression lorsqu'on lance la requête suivante :
xxx.php?action=supprimer.
Ce qui me chippote... c'est ca
<?php
if($action=="supprimer"){
?>
A remplacer par :
<?php
if ( isset($_GET['action']) && $_GET['action'] == 'supprimer' ) {
}
?>
En faites, la modif à faire est la :) Au temps pour moi si je me suis trompé !
coucou747
Messages postés12303Date d'inscriptionmardi 10 février 2004StatutMembreDernière intervention30 juillet 201244 11 sept. 2005 à 19:47
les gens changent...
ton code html n'est pas super propre (balises dépressiés, minuscules mélangés avec majuscules...) et je n'oses pas parelr de ton code php..
Toolsweb
Messages postés50Date d'inscriptiondimanche 24 avril 2005StatutMembreDernière intervention17 février 2006 11 sept. 2005 à 17:15
Oui peut-etre que Beurk mais ton truc marche pas...donc peut-etre pas si beurk que ça finalement.
Mais ce qui me ronge, c'est que la source de base qui n'avait pas la fonction supprimer sur ce site avait étét apprécié mais la mienne, avec fonction supprimer, est rejetée :(
FhX
Messages postés2350Date d'inscriptionmercredi 13 octobre 2004StatutMembreDernière intervention18 avril 20153 11 sept. 2005 à 13:16
C'est juste pour commencer. Mais il vaut mieux faire une belle fonction qui renvoit un code d'erreur (genre true/false) plutot que de faire du mix php/html. Disons que si je veux reprendre ton code, je dois virer tout le html, et ensuite je dois m'amuser à tout reprendre.
Voila pourquoi ;)
massacr
Messages postés233Date d'inscriptionvendredi 2 juillet 2004StatutMembreDernière intervention 4 janvier 2007 11 sept. 2005 à 09:40
loooooooool la réponse !!! Trop fun !!! Un vrai brice !!! Mais tu fais quand meme fausse route. Evidemment la quantité de code PHP n'est pas une norme à respecter pour avoir une bonne apréciation sur Codes-Sources, et la qualité a beaucoup plus d'importance. Mais, en général, quand il y a plus d'HTML que de PHP, c'est que le code PHP n'est pas très recherché, ni très sofistiqué. Je sais, tu vas me répondre "mais ca sert a quoi de mettre du code plus recherché". Et bien, à donner à ta source un intéret didactique, et pas seulement une source toute bete, qui marche, mais que tout le monde pourrait refaire et n'irait meme pas chercher sur Codes-Sources.
Bon et ba a+
Toolsweb
Messages postés50Date d'inscriptiondimanche 24 avril 2005StatutMembreDernière intervention17 février 2006 11 sept. 2005 à 01:53
Oui, peut-etre, mais sa servirais à quoi de mettre plus de php ?
cs_Anthomicro
Messages postés9433Date d'inscriptionmardi 9 octobre 2001StatutMembreDernière intervention13 avril 20078 10 sept. 2005 à 22:26
13 sept. 2005 à 17:43
12 sept. 2005 à 23:58
Si quelqu'un pourrait me montrer comment bloquer les fichiers .bat, .exe .torrent .php .asp .zip .var etc
sa serais apprécié merci.
12 sept. 2005 à 21:04
12 sept. 2005 à 20:53
> LOL, c'est sympa de l'avoir prévenu :-)
12 sept. 2005 à 20:44
12 sept. 2005 à 20:38
Une fois que tu auras sécurisé ton script, penses bien à sécuriser aussi ton site. Je t'envoie ton mot de passe admin par message privé.
Eh oui, il ne suffit pas de bloquer les fichiers zip, et exe, il faut aussi bloquer les php, bat, etc... Ainsi que les .torrents, car certains ce servent de ton serveur pour héberger des torrents qui, étant donnés leur titres, n'ont rien à faire sur le site d'un garcon de 13 ans.
Voilà, bien évidemment je n'ai rien abimé sur ton site.
Mais, sans etre ironique, c'est vachement sympa de permettre aux internautes d'héberger leurs fichiers, mais limite les aux images, et aux documents texte... Je pense que tu peux aussi interdire à Apache d'exécuter n'importe quel fichier dans ce répertoire.
A+ et bonne continuation.
11 sept. 2005 à 21:46
proposer un upload, c'est simple, mais sécuriser tt ça l'est moins... ici, on peut uploader ce que l'on veut...
11 sept. 2005 à 21:38
Donc persevere et tu arriveras à quelque chose ;)
Bon courage !
11 sept. 2005 à 20:30
Ah sisi, mais c'est moi qui ai mal lu.
Tu fais une opération de suppression lorsqu'on lance la requête suivante :
xxx.php?action=supprimer.
Ce qui me chippote... c'est ca
<?php
if($action=="supprimer"){
?>
A remplacer par :
<?php
if ( isset($_GET['action']) && $_GET['action'] == 'supprimer' ) {
}
?>
En faites, la modif à faire est la :) Au temps pour moi si je me suis trompé !
11 sept. 2005 à 19:47
ton code html n'est pas super propre (balises dépressiés, minuscules mélangés avec majuscules...) et je n'oses pas parelr de ton code php..
11 sept. 2005 à 17:15
Mais ce qui me ronge, c'est que la source de base qui n'avait pas la fonction supprimer sur ce site avait étét apprécié mais la mienne, avec fonction supprimer, est rejetée :(
11 sept. 2005 à 13:16
# if($action=="supprimer"){
# $file=$_POST["file"];
# unlink("$file");
# }
# ?>
# <?php closedir($dir); ?>"
Beurk :D
<?php
if ( isset($_POST['action']) && $_POST['action'] == 'supprimer' ) {
unlink( $_POST['file'] );
}
closedir($dir);
?>
C'est juste pour commencer. Mais il vaut mieux faire une belle fonction qui renvoit un code d'erreur (genre true/false) plutot que de faire du mix php/html. Disons que si je veux reprendre ton code, je dois virer tout le html, et ensuite je dois m'amuser à tout reprendre.
Voila pourquoi ;)
11 sept. 2005 à 09:40
Bon et ba a+
11 sept. 2005 à 01:53
10 sept. 2005 à 22:26
évite le <? (à remplacer par <?php)
Ensuite y'a plus de code html que php...