recherche_webmaster Posté 24 Août 2005 Partager Posté 24 Août 2005 Bonjour, J'ai lu sur plusieurs site qu'il était souhaitable de placer le dossier contenant les scripts en dehors du répertoire www, pour la sécurité. Alors je l'ai fait, mais j'aimerais bien que l'on m'explique un peu plus pourquoi si ce n'est point trop demander. Aussi je voulais savoir si il est nécessaire/possible de placer TOUT ses dossiers en dehors de www. Et si l'on doit en plus placer un fichier .htaccess pour les dossiers en dehors de www, ainsi que dans le dossier image si on ne peut pas le placer en dehors de www. Bref ce n'est pas une question technique, rien n'est très difficile c'est un peu de théorie ça ne peut pas faire de mal je crois. merci d'avance pour vos réponses Lien vers le commentaire Partager sur d’autres sites More sharing options...
rportal Posté 24 Août 2005 Partager Posté 24 Août 2005 (modifié) En général tout ce qui n'est pas dans www n'est pas accessible par un visiteur sur ton site. Du coup cela empeche une utilisation frauduleuse de tes scripts en essayant de les appeler directement. tu obtiens le me resultat avec un deny from all des repertoires contenant tes scripts "sensible" (dans le cas ou tu n'as pas possibilite de mettre des ficheirs en dehors du www, ex chez fre ) Modifié 24 Août 2005 par rportal Lien vers le commentaire Partager sur d’autres sites More sharing options...
recherche_webmaster Posté 24 Août 2005 Auteur Partager Posté 24 Août 2005 tu obtiens le me resultat avec un deny from all des repertoires contenant tes scripts "sensible" (dans le cas ou tu n'as pas possibilite de mettre des ficheirs en dehors du www, ex chez fre ) Tu veux dire qu'un htpassword dans le dossier couplé à une ligne dans le htaccess à la racine donne le même effet que de tout sortir du répertoire www? Lien vers le commentaire Partager sur d’autres sites More sharing options...
rportal Posté 24 Août 2005 Partager Posté 24 Août 2005 non en fait un .htaccess avec un deny from all dans les repertoires desires. tu proteges comme cela des scripts qui sont appelés par d'autres scripts : librairie de fonction, classes, etc... Ceux sont des scripts qui ne sont pas destines a etre appele directement. Lien vers le commentaire Partager sur d’autres sites More sharing options...
recherche_webmaster Posté 24 Août 2005 Auteur Partager Posté 24 Août 2005 des htaccess je peux en placer dans tous les répertoires non? y'a que l'index que je ne peux pas protéger. Je me trompe? Lien vers le commentaire Partager sur d’autres sites More sharing options...
snwoman49 Posté 24 Août 2005 Partager Posté 24 Août 2005 Faut mettre dans le même répertoire que apache,mysql et php ? Lien vers le commentaire Partager sur d’autres sites More sharing options...
recherche_webmaster Posté 24 Août 2005 Auteur Partager Posté 24 Août 2005 C'est une question pour qui ça ? Lien vers le commentaire Partager sur d’autres sites More sharing options...
snwoman49 Posté 24 Août 2005 Partager Posté 24 Août 2005 C'est une question comme ca pour savoir si ca ne gène pas.Sinon j'ai un problème avec le .htaccess,j'ai installé correctement tout mon serveur chez moi,mais quand je met un .htaccess dans un dossier,ca n'en tient pas compte. Lien vers le commentaire Partager sur d’autres sites More sharing options...
oxyd-x Posté 24 Août 2005 Partager Posté 24 Août 2005 (modifié) Salut, pour proteger tes données, il te faut faire un fichier ".htaccess" situé dans le dossier à protéger, et d'écrire dans celui-ci : deny from all les sous-dossiers seront automatiquement protégé. Ne met pas ce fichier à la racine de ton site, ou dans un dossier contenant des scripts pouvant (et devant) être appelés par une url (par tes visiteurs). Pour les images, ne met pas de fichier htaccess dans le dossier, sinon, elles ne seront pas affichées sur le naviguateur du client. PS: tu ne peut pas "tous" sortir du dossier "www", sinon, ton site ne sera pas visible sur le net @+ oxyd Modifié 24 Août 2005 par oxyd-x Lien vers le commentaire Partager sur d’autres sites More sharing options...
oxyd-x Posté 24 Août 2005 Partager Posté 24 Août 2005 C'est une question comme ca pour savoir si ca ne gène pas.Sinon j'ai un problème avec le .htaccess,j'ai installé correctement tout mon serveur chez moi,mais quand je met un .htaccess dans un dossier,ca n'en tient pas compte. <{POST_SNAPBACK}> Lorsque tu place un nouveau htaccess dans un dossier, tu doit redémarrer Apache pour qu'il prenne en compte les modifications Vérifie aussi qu'Apache autorise la lecture de htaccess dans ta config @+ oxyd-x Lien vers le commentaire Partager sur d’autres sites More sharing options...
recherche_webmaster Posté 24 Août 2005 Auteur Partager Posté 24 Août 2005 Pour les images, ne met pas de fichier htaccess dans le dossier, sinon, elles ne seront pas affichées sur le naviguateur du client. Alors comment font ceux qui empêche que l'on ouvre directement le contenu du fichier images dans le navigateur en tappant dans l'url www.monsite.com/images et hop on a toute la liste ! j'ai bien lu que l'on pouvait mettre un htaccess dans le dossier images, alors qui se trompe ? ou j'ai mal compris peut être. Ne met pas ce fichier à la racine de ton site, ou dans un dossier contenant des scripts pouvant (et devant) être appelés par une url (par tes visiteurs). Bon je veux bien mais c'est un coup à gauche un coup à droite, les uns disent de le faire, toi non. Alors faut faire quoi? Quel est le problème ? Lien vers le commentaire Partager sur d’autres sites More sharing options...
snwoman49 Posté 24 Août 2005 Partager Posté 24 Août 2005 Un autre problème dans ma configuration,j'ai mis un fichier php en dehors du répertoire www quand je l'éxécute rien est pris en compte.Suis je vraiment obliger de mettre mes fichiers php html ou autre sans www ? Lien vers le commentaire Partager sur d’autres sites More sharing options...
recherche_webmaster Posté 24 Août 2005 Auteur Partager Posté 24 Août 2005 Un autre problème dans ma configuration,j'ai mis un fichier php en dehors du répertoire www quand je l'éxécute rien est pris en compte.Suis je vraiment obliger de mettre mes fichiers php html ou autre sans www ? euh c'est mon post hein Lien vers le commentaire Partager sur d’autres sites More sharing options...
oxyd-x Posté 24 Août 2005 Partager Posté 24 Août 2005 Re Alors, on va regler tes 2 problémes en une fois : créer un fichier htaccess à la RACINE du site, et tu inscrit dedans : Options -Indexes +FollowSymLinksRewriteEngine OnRewriteBase /RewriteCond %{HTTP_REFERER} !^$RewriteCond %{HTTP_REFERER} !^http://www.tondomaine.com/.*$ [NC]ReWriteRule .*\.(gif|png|jpe?g)$ - [F] ensuite, tu ajoute un fichier "index.html" qui ne contient rien dans le dossier contenant des images (/images/) comme ça, si quelqu'un "tombe" sur l'url de l'image, il ne verra pas la liste et en plus, tes images ne pourront pas être "pompées" à partir d'un autre site. Enfin, pour le htaccess à la racine du site, c'est faisable, mais IL NE FAUT PAS mettre "deny from all" , sinon, tu refuse l'accès de ton site à tous ! (deny from all : refus de tous) Lien vers le commentaire Partager sur d’autres sites More sharing options...
snwoman49 Posté 24 Août 2005 Partager Posté 24 Août 2005 (modifié) Ah maintenant il y a des posts marqué XX,dans le titre tu aurais du mettre poste de recherche_webmaster on ne parle de rien d'autre,je te signales plus que mes questions correspondent au titre de ton sujet et que donc elle ne peuve que t'aider. Donc voilà.J'ai rien de plus à dire. Sinon pour ce qui est de bloquer à la lecture le répertoire,on peut mettre ce code ci dans httpd.conf: <Directory "c:/serveur/www/tondossier">Options -Indexes</Directory> Modifié 24 Août 2005 par snwoman49 Lien vers le commentaire Partager sur d’autres sites More sharing options...
oxyd-x Posté 24 Août 2005 Partager Posté 24 Août 2005 Un autre problème dans ma configuration,j'ai mis un fichier php en dehors du répertoire www quand je l'éxécute rien est pris en compte.Suis je vraiment obliger de mettre mes fichiers php html ou autre sans www ? <{POST_SNAPBACK}> désolé, je n'ai pas saisie le sens de ta question ; si tu désires utilisé un script php en dehors du www, vérifie que ta config ne bloque pas sur des valeurs "safe_mode" / "document_root" / .... Lien vers le commentaire Partager sur d’autres sites More sharing options...
recherche_webmaster Posté 24 Août 2005 Auteur Partager Posté 24 Août 2005 (modifié) Ah maintenant il y a des posts marqué XX Disons que le but d'un post est quand même à la base de discuter du sujet initial et de répondre un peu à la personne qui l'a initié. Enfin on va pas se battre pour ça, mais tes questions à mes questions elle ne m'éclaire pas du tout et je ne distingue même plus dans les réponses celles qui sont pour moi ou pour toi. C'est la vie tu me diras. Modifié 24 Août 2005 par recherche_webmaster Lien vers le commentaire Partager sur d’autres sites More sharing options...
Dudu Posté 24 Août 2005 Partager Posté 24 Août 2005 Bonjour, J'ai lu sur plusieurs site qu'il était souhaitable de placer le dossier contenant les scripts en dehors du répertoire www, pour la sécurité. On l'a dit aussi sur le Hub euh c'est mon post hein Tu t'es déjà immiscé dans des sujets qui n'étaient pas les tiens comme celui-ci par exemple Merci de ne pas 'agresser' les intervenant du forum, alors que l'équipe de modération fait preuve envers toi de beaucoup de gentillesse en te laissant les droits d'écriture de ton 3ème compte. Si tu souhaites répondre à ceci: MP. ** fin du hors-sujet ** Pour en revenir à la question initiale, il est nécessaire de placer les fichiers "sensibles" en dehors de l'espace web. Les seuls fichiers concernés sont (grosso modo) les fichiers de configuration ou tout autre fichier contenant mots de passes, nom de la BDD etc etc.. Les autres fichiers sont à mettre dans l'espace web. Les fichiers .htaccess sont totalement inactifs en dehors de l'espace web, par définition. Voilà. snwoman: les fichiers PHP destinés à être exécutés sont à mettre dans l'espace web obligatoirement. Seuls ceux destinés à être 'lu en interne' par d'autres fichiers PHP (exemple-type: les fichiers de configuration) peuvent être mis hors de l'espace web.. en fait ils doivent même être en dehors de www. Lien vers le commentaire Partager sur d’autres sites More sharing options...
recherche_webmaster Posté 24 Août 2005 Auteur Partager Posté 24 Août 2005 et dans le fichier image l'on place un .htaccess ou pas alors? Sans m'étaller sur le sujet, la conversion que j'ai reprise je l'ai reprise alors qu'elle était archi fermé par celui qui l'a initié mais bon. pour le troisième compte g pas compris. Lien vers le commentaire Partager sur d’autres sites More sharing options...
snwoman49 Posté 24 Août 2005 Partager Posté 24 Août 2005 Merci dudu,je me disais aussi,le language n'étais pas lu.. Sinon recherche webmaster si tu as accès a Apache tu va dans conf->httpd-> et tu mets à la fin <Directory "c:/serveur/www/tondossier"> Options -Indexes </Directory> Le options-Indexes siginifie que s'il n'y a pas un des fichiers signifier dans DirectoryIndex alors cela renverra comme message: Forbidden You don't have permission to access /tondossier/ on this server. Si tu veux que le contenu sois visible tu enlèves le - avec Indexes. Voila j'espère avoir répondu à ta question,oublie pas de redémarrer apache ensuite... Lien vers le commentaire Partager sur d’autres sites More sharing options...
recherche_webmaster Posté 24 Août 2005 Auteur Partager Posté 24 Août 2005 Merci pour ta réponse. Je travaille directement sur le serveur mutualisé. j'ai posé la question au technicien d'ovh qui m'a dit d'utiliser : ini_set("register_global","0") je lui ai demandé où, j'attend la réponse. Alors j'ai essayé ça, carrément au pif : <?php ini_set("register_global","0") ; ?> que j'ai placé tout en haut de l'index.php au dessus du <html> Bien sur aucun résultat, le phpinfo m'indique toujours un register_global à on. Lien vers le commentaire Partager sur d’autres sites More sharing options...
snwoman49 Posté 24 Août 2005 Partager Posté 24 Août 2005 (modifié) Arf d'accord donc ma solution n'est pas possible,c'est ce que j'utilise moi et je trouve que c'est la plus simple... Donc ta seul alternative est le .htaccess Modifié 24 Août 2005 par snwoman49 Lien vers le commentaire Partager sur d’autres sites More sharing options...
recherche_webmaster Posté 24 Août 2005 Auteur Partager Posté 24 Août 2005 Donc la ligne d'ovh est bonne, mais je dois la placer tel quel (sans les <?php ?>) dans le htaccess c'est ça? Lien vers le commentaire Partager sur d’autres sites More sharing options...
snwoman49 Posté 24 Août 2005 Partager Posté 24 Août 2005 (modifié) Essaie de mettre ca dans ton .htaccess. <Files>AuthName AccesRestreintAuthType Basic<limit GET POST>order deny,allowdeny from allallow from .enst.frrequire group intranetsatisfy all</Limit></Files> Modifié 24 Août 2005 par snwoman49 Lien vers le commentaire Partager sur d’autres sites More sharing options...
Anonymus Posté 24 Août 2005 Partager Posté 24 Août 2005 l'option de configuration n'est pas : register_global mais register_globals Essaies ceci : <?php ini_set("register_globals","0") ; ?> ou cela <?php ini_set("register_globals","1") ; ?> et tu verras que ca changera la configuration serveur Lien vers le commentaire Partager sur d’autres sites More sharing options...
Sujets conseillés