zagadka Posté 9 Février 2007 Posté 9 Février 2007 Bonjour, Je désire protéger des répertoires qui sont accessibles sur le web. C'est à dire qu'on ne puisse pas lancer du code php à l'intérieur de ceux-ci. Cela me sert généralement pour les comptes ftp ou des programmes php qui font des uploads sur ces répertoires qui dans 100% des cas ne servent que pour mettre des documents et des images sur le serveur. Dans le cas ou un compte ftp est détourné je ne veut pas qu'on puisse uploader du php pour l'exécuter et faire ainsi des dégâts... Je sais que je peut faire des "rewriterules", je les ai même déjà faits et ça marche plutôt bien. Mais le gros problème est que les .htaccess ne sont pas cumulatifs. Si je mets mes règles de protection dans mon httpd.conf et que sur un de ces répertoires que je veut protéger on insère un .htaccess, mes protections sautent. Et je ne veut pas les interdire, le htaccess. Avez vous des réflexions sur le sujet ? Merci PS : Je voudrais aussi votre avis pour aller plus loin au niveau des protections de ces répertoires ; en supposant que l'on puisse uploader des scripts (pl, sh, etc) est-il trivial de les lancer ? ou le fait d'empêcher l'exécution du php qui servirait pour les lancer est suffisant ?
Leonick Posté 10 Février 2007 Posté 10 Février 2007 il suffit, dans le script d'upload, d'interdire les extensions php, et autres extensions déclarées exécutables par ton serveur. Pour les photos de vérifier que c'est vraiment une photo, avec les fonctions php adéquates.
zagadka Posté 12 Février 2007 Auteur Posté 12 Février 2007 Salut, oui mais j'ai aussi des comptes ftp et c'est ceux la que je vais surtout proteger contre l'execution ... meci
Leonick Posté 12 Février 2007 Posté 12 Février 2007 il suffit dans ce cas d'interdire l'exécution dans les droits du répertoire pour les groupes et les permissions publiques
zagadka Posté 14 Février 2007 Auteur Posté 14 Février 2007 Salut, comment le fait de modifier les droits du repertoire que je veut proteger permet d'empecher a apache d'executer une page php ? car je veux quand meme que apache puisse lire dedans (pour afficher des images par ex), qu'il puisse aussi mettre des documents dedans et enfin que un compte ftp puisse mettre aussi des documents... Merci
Meschac Posté 15 Février 2007 Posté 15 Février 2007 Si tu donne un accès ftp à une personne,je vois mal comment tu peu interdire l'upload de fichier .php Même si tu interdit l'extension .php il est très simple de faire un fichier .php.txt
zagadka Posté 20 Février 2007 Auteur Posté 20 Février 2007 Donc si j'ai compris il y a pas de solution ? Est-ce une problematique ilogique ? MErci
K-Ola Posté 20 Février 2007 Posté 20 Février 2007 A partir du moment ou tu autorise un accés ftp il n'est pas possible à ma connaissance de vérifier les extensions des fichier uppé. La solution serait par exemple de mettre en place un systéme d'upload en php par exemple,qui te permet de faire des contrôle sur la nature des fichiers uppé.
Meschac Posté 21 Février 2007 Posté 21 Février 2007 A partir du moment ou tu autorise un accés ftp il n'est pas possible à ma connaissance de vérifier les extensions des fichier uppé. La solution serait par exemple de mettre en place un systéme d'upload en php par exemple,qui te permet de faire des contrôle sur la nature des fichiers uppé. Totalement d'accord C'est exact zagadka il n'y a pas de solution si les utilisateurs ont un accès FTP
Sujets conseillés
Veuillez vous connecter pour commenter
Vous pourrez laisser un commentaire après vous êtes connecté.
Connectez-vous maintenant