adn Posté 28 Novembre 2004 Partager Posté 28 Novembre 2004 Bonjour, Je voudrais votre avis sur la question suivante : J'ai créé un compte utilisateur dans un sous-répertoire d'un site pour lequel je souhaite que mon partenaire puisse y construire quelques pages qui s'inséreront dans le site. Je souhaite lui fournir un template dans lequel il insérera son code, mais pour cela il va faire des includes sur des répertoires qui m'appartiennent. Après ces includes rien ne lui empêche de faire qq echos pour dumper mes variables.... bref au niveau sécurité, c'est foireux. Comment me suggérez-vous de faire ? Avez-vous une expérience de ce type ? Merci Lien vers le commentaire Partager sur d’autres sites More sharing options...
maximettb Posté 28 Novembre 2004 Partager Posté 28 Novembre 2004 Et pourquoi ce ne serait pas un de tes scripts qui fasse l'include de son script? Sinon, PHP accepte la création de classes, mais je ne sais pas si il gère les variables private et protected. Le travail en classe peut être une bonne piste... Quel genre d'informations peut il dumper de cette manière? Mot de passe admin? Base de donnée? PHP n'est pas un language très évolué et la protection de variables dans le cadre d'un developpement collectif est une de ses premières limitations... Lien vers le commentaire Partager sur d’autres sites More sharing options...
adn Posté 28 Novembre 2004 Auteur Partager Posté 28 Novembre 2004 (modifié) Pour résoudre le problème, j'ai créé un sous-domaine et un user pour mon partenaire. De fait il est sur un serveur virtuel à part et du coup ses includes se font par include include "http://www.xxxx.com/api/include.php" J'ai testé et il ne lui est possible d'accéder aux variables (serveur virtuel distinct). Mais cela pose d'autres problèmes du côté de mon serveur de www.xxxx.com , car mes includes contenus dans "/api" n'arrivent plus eux-même à faire des includes sur mon site alors que j'ai un ordre "php_value include_path" dans mon fichier .htaccess . C'est curieux on dirait que l'include fait à distance sur mon site ne prend pas en compte cet ordre. J'ai été obligé de tout dupliquer et de ramener mon code au premier niveau dans mon dossier /api Je sais c'est un peu compliqué, mais c'est la solution la plus élégante pour mon partenaire, car ainsi il a un template dont tout le frame est ramené par include sur mon site de base. Par contre sur mon site, je ne comprends pas pourquoi mon ordre php_value de .htaccess est ignoré dans ce cas de figure (include distant). Si quelqu'un comprends qq chose a mes explications et a idée sur ce qui se passe... maximettb, Si je procède à l'envers comme tu le suggère, mon partenaire ne peut pas creer de page comme il le souhaite. Je suis obligé de le faire moi et de faire un include du contenu à chaque fois. C'est moins souple je trouve. Merci Modifié 28 Novembre 2004 par adn Lien vers le commentaire Partager sur d’autres sites More sharing options...
Anonymus Posté 28 Novembre 2004 Partager Posté 28 Novembre 2004 De mémoire, il me semble que c'est parce que tu fais appel à un serveur distant. Même si ce domaine est sur ton serveur. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Sujets conseillés
Veuillez vous connecter pour commenter
Vous pourrez laisser un commentaire après vous êtes connecté.
Connectez-vous maintenant