rikiki Posté 10 Mars 2005 Partager Posté 10 Mars 2005 Bonjour, J'ai une page index.php dans laquel j'ai un tableau html dans lequel j'inclus 3 pages disposés comme suit: menu-gauche :: centre du site :: menu droite voici l'include de mon MENU-Gauche (sachant que les 2 autres Include sont sous la même forme): <? include("./mn/mngch.php"); $page = $page.".php"; if(file_exists($page)) include($page); else include("erreur404.php"); ?> D'un point de vu sécurité. Quand est il J'aimerais une sécurité maximale, tout en conservant "la structure d'inclusion" dans mon tableau html. nota: j'ai lut de nombreuses Doc à propos de l'Include MAIS la sécurité n'était jamais au rendez-vous. Parce que récemment un Virus se propageant via une faille d'inclusion-php, je vous pose la question. Et mon INCLUDE puis je le sécuriser ? Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dan Posté 10 Mars 2005 Partager Posté 10 Mars 2005 Salut Rikiki, Pour limiter l'endroit où les fichiers à inclure sont recherchés, tu pourrais donner un chemin complet et faire quelques opérations sur la variable $page. Dans le genre: $page=basename($page); et include("/chemin/vers/ta/page/".$page.".php"); La fonction basename() permet d'éviter que $page comprenne un chamin complet du genre page=/etc/passwd vu qu'elle ne retournera que "passwd" qui n'existe pas dans le répertoire courant. L'include force le chemin de l'inclusion en mettant un "full path" au début et en forçant une extension à la fin... A mon avis cela devrait être suffisamment sécurisé. Dan Lien vers le commentaire Partager sur d’autres sites More sharing options...
Portekoi Posté 10 Mars 2005 Partager Posté 10 Mars 2005 Au cas où car déjà vu. Suis les conseils de Dan concernant le chemin absolue vers ton fichier. Ne fais surtout pas QUE forcer l'extension car la personne pourrais faire un truc du genre : page=http://www.monsite.com/mapage Et là, ton script ferait : http://www.monsite.com/mapage.php J'ai vue beaucoup de webmaster ce faire avoir Bye Portekoi Lien vers le commentaire Partager sur d’autres sites More sharing options...
Sujets conseillés
Veuillez vous connecter pour commenter
Vous pourrez laisser un commentaire après vous êtes connecté.
Connectez-vous maintenant