kjmfr Posté 23 Mai 2007 Posté 23 Mai 2007 Bonjour à tous, Je me suis poser la question suivante : un internaute peut-il récupérer le code Php d'une pagede mon site ou ne dispose-t-il d'aucun moyen pour voir le code Php ? Merci de votre réponse ... @ Bientôt
Findel Posté 23 Mai 2007 Posté 23 Mai 2007 En théorie, et à condition que le serveur soit bien paramétré, l'internaute ne peut pas voir le code PHP. En effet, les fichiers PHP sont d'abord traités par Apache+PHP avant d'être envoyé au visiteur. Ceci dit, attention, notamment sur les fichiers "inclus", à conserver une extension .php. J'ai déjà vu des problèmes se poser à un webmaster qui nommait ses fichiers en .inc, extension non traitée par son serveur web, et qui du coup pouvait être visualisés en les interrogeant directement.
destroyedlolo Posté 23 Mai 2007 Posté 23 Mai 2007 Ceci dit, attention, notamment sur les fichiers "inclus", à conserver une extension .php. J'ai déjà vu des problèmes se poser à un webmaster qui nommait ses fichiers en .inc, extension non traitée par son serveur web, et qui du coup pouvait être visualisés en les interrogeant directement. C'est pour ca que mes fichiers .inc se trouvent toujours en dehors de l'arborescence servie par le serveur web.
iNCiTE Web Posté 23 Mai 2007 Posté 23 Mai 2007 Oui moi toujours dans un dossier protégé par "deny from all" dans un .htaccess, et ont l'extension .inc.php Le seul cas où quelqu'un pourrait chopper, c'est si y'a un problème de configuration et que les fichiers php seraient pas parsés...
kjmfr Posté 24 Mai 2007 Auteur Posté 24 Mai 2007 (modifié) Merci à tous pour vos réponses Me voilà rassuré ! Mais si c'est un grand penseur et qu'il essaye de récupérer les fichiers par un autre protocole que internet ... existe-t-il un moyen contre lequel il faudrait trouver une parade ? Par exemple par protocole FTP on peut récupérer les fichiers avec le code PHP ... heuresement le protocole FTP est sécurisé par User:Pass. Est-ce sur qu'il n'y a pas un autre protocole ou je ne sais quoi qui permette avec des résultats similaires à FTP (mais sans user:pass) de passer outre l'intervention du serveur et ainsi de récupérer les codes "brut" ? Merci pour vos réponses Modifié 24 Mai 2007 par kjmfr
Dudu Posté 24 Mai 2007 Posté 24 Mai 2007 Salut Mais si c'est un grand penseur et qu'il essaye de récupérer les fichiers par un autre protocole que internet ... existe-t-il un moyen contre lequel il faudrait trouver une parade ? Par exemple par protocole FTP on peut récupérer les fichiers avec le code PHP ... heuresement le protocole FTP est sécurisé par User:Pass. Est-ce sur qu'il n'y a pas un autre protocole ou je ne sais quoi qui permette avec des résultats similaires à FTP (mais sans user:pass) de passer outre l'intervention du serveur et ainsi de récupérer les codes "brut" ? La réponse est simple: non. Mais puisque tu as l'air de te soucier de ta sécurité, quelques conseils en vrac: choisis un vrai mot de passe pour ton FTP. Le nom de ton animal de compagnie, ta date de naissance, un mot courant présent dans le dictionnaire NE SONT PAS des mots de passe. Un vrai mot de passe est constitué de chiffres, de lettres minuscules et majuscules, et de caractères spéciaux (tiret, underscore, etc.). Place tes includes sensibles en dehors de la zone d'accès web ("au-dessus" du répertoire www) Si tu ne peux pas, vérifies tout de même qu'ils ont l'extension .php En cas de problème de parseur PHP (par exemple si PHP est désactivé), ton code PHP apparaitra brut dans le navigateur. Fais en sorte de ne placer rien de compromettant dans ces fichiers. Les choses compromettantes pour ta sécurité doivent être placées dans les fichiers include dont je parle ci-dessus. Blinde ton accès à la base dans tes scripts. Qu'on ne puisse pas écrire de l'HTML, du SQL, ou autre langage via un formulaire ou via un paramètre dans une URL. En prenant déjà ça en compte, tu devrais être tranquille pendant un moment
kjmfr Posté 26 Mai 2007 Auteur Posté 26 Mai 2007 (modifié) Merci pour tous ces conseils Mais je ne suis pas un super pro de la sécurité Php alors je ne sais pas si dans mes codes il n'y a pas des petites failles ... enfin je pense que c'est bon. Modifié 26 Mai 2007 par captain_torche
Sujets conseillés
Veuillez vous connecter pour commenter
Vous pourrez laisser un commentaire après vous êtes connecté.
Connectez-vous maintenant