INCLUDE "SECURISÉ" VIA FICHIER INI FACILEMENT EDITABLE

cs_depression

Messages postés: 100
Date d'inscription: mardi 7 novembre 2000
Statut: Membre
Dernière intervention: 13 juillet 2009

- 1 mai 2008 à 08:43
cs_emilia123

Messages postés: 122
Date d'inscription: mercredi 19 décembre 2001
Statut: Membre
Dernière intervention: 5 janvier 2009

- 13 mai 2008 à 08:29

Cette discussion concerne un article du site. Pour la consulter dans son contexte d'origine, cliquez sur le lien ci-dessous.

https://codes-sources.commentcamarche.net/source/46517-include-securise-via-fichier-ini-facilement-editable

cs_emilia123

Messages postés: 122
Date d'inscription: mercredi 19 décembre 2001
Statut: Membre
Dernière intervention: 5 janvier 2009

13 mai 2008 à 08:29

bonjour à tous,
Je pense que l'idée est sympa, et change des gros IF ou SWITCH que l'on voit habituellement.
la solution avec un require ou include + file_exists n'est pas suffisante.
si j'appel "index.php?page=admin/.htpasswd" ca va juste inclure le fichier admin/.htpasswd
pourtant file_exists serait utilisé.

faire un include/require directement à partir d'une variable GET ou POST est toujours dangereux.
passer par un traitement intermediaire est nécessaire et ce code est sympa.
Il marche sans modif pour 1 ou 1000 pages (contrairement aux tests via IF ou SWITH)
Il marche avec des ajouts de pages (contrairement aux tests via IF ou SWITH)
Il n'inclus vraiment que ce qu'on laisse include (contrairement aux include/require)

Voila voila
Biz
EM.

kiki67100

Messages postés: 313
Date d'inscription: samedi 6 mai 2006
Statut: Membre
Dernière intervention: 10 août 2013

1
3 mai 2008 à 18:19

Amezghal , tu peut mettre ton array dans le fichier ini aussi qui simplifie l'edite de ton array avec mon code par exemple

coucou747

Messages postés: 12303
Date d'inscription: mardi 10 février 2004
Statut: Membre
Dernière intervention: 30 juillet 2012

41
2 mai 2008 à 15:13

amezghal, si tu utilises l'utlrewriting pour tes index.php?page=truc, alors t/as une solution qui t'evites le in_array et qui t'evites bon nombre de XSS :

tu peux simplement interdire l'acces aux pages qui ne viennent pas par rewrite.

didoudu17

Messages postés: 16
Date d'inscription: mardi 6 novembre 2007
Statut: Membre
Dernière intervention: 6 mai 2008

2 mai 2008 à 07:03

salut,
pas mal ta technique amezghal je pense que je vais faire pareil c plus pratique

amezghal

Messages postés: 385
Date d'inscription: lundi 27 février 2006
Statut: Membre
Dernière intervention: 21 août 2015

5
1 mai 2008 à 22:53

Salut,
perso j'utilise un tableau + url rewriting:
par exemple:
$pages=array('home','contact','admin');
if(isset($_GET['page']) && in_array($pages, $_GET['page'])){
require $_GET['page'].'.php';
} else {
require page par defaut en cas derreur;
}

malalam

Messages postés: 10839
Date d'inscription: lundi 24 février 2003
Statut: Membre
Dernière intervention: 2 mars 2010

25
1 mai 2008 à 14:51

Ne prenez pas l'exemple de sites fonctionnant par inclusions, mais de sites classiques basés juste sur des pages. Je ne vois pas en quoi cela change quelque chose que l'on voit ou non machin.php plutôt que main.php?page=1.
Si le site est mal codé, dans les 2 cas, les problèmes sont les mêmes. Ca n'est pas moins sécurisé de voir le nom des fichiers php utilisés.
Parce que être parano, c'est bien...mais il faut l'être à bon escient : vous ne serez pas plus capable de sécuriser dans un cas que dans l'autre. Et si vous faîtes face à un piratin ayant un meilleur niveau que vous, dans les deux cas, il trouvera la faille. On ne sécurise pas un site pour les utilisateurs lambda, parce qu'eux ne représentent pas une menace : ils ne savent pas comment exploiter une faille.
Un bon piratin le sait, lui...et si vous n'avez pas un bon niveau, dans les deux cas, vous êtes morts.
Et si vous avez un bon niveau...que votre site affiche ou non en clair dans l'url les fichiers php qu'il utilise, ça ne changera rien, c'est le piratin qui est mort.
Bref, un bon piratin verra la lumière dans l'obscurité, croyez-moi...penser que simplement masquer le nom des fichiers utilisé est une sécurité est illusoire dans ce cas.
Il faut bien plus s'intéresser aux injections et autres XSS...et les XSS se basent souvent sur...des POST ou des GET...en se contrefichant éperduement du nom des fichiers que VOUS vous incluez, de manière masquée ou non. Parce que ce ne sont pas VOS scripts qui l'intéressent dans ce cas, mais les siens...à priori, les vôtres ne peuvent pas faire de mal à votre site ;-)

Afficher les 19 commentaires