Sécurité : comment empêcher l'accès aux fonctions d'une bibliothèque

weabow · 13/07/2011, 07h04

Bonjour à tous,

J'ai créé des bibliothèques de fonctions php (réutilisables) que j'utilise en faisant un include dans mes pages php.

Ma question : comment empêcher un utilisateur mal intentionné de créer sur son serveur une page php qui elle-même fait un include sur mes pages de bibliothèques (sur mon serveur), et ainsi devient en capacité d'intervenir sur mes datas grâce à mes propres fonctions ?

Christian

transgohan · 13/07/2011, 08h10

Il suffit de configurer ton propre serveur pour interdire l'inclusion de code depuis l'extérieur. C'est configuré de base normalement, et si c'est pas le cas gros LOL pour ton hébergeur...

De base en faisant l'inclusion d'un fichier PHP d'un autre serveur on inclut le code HTML généré par le serveur distant et non le code PHP. Cependant il est possible de configurer le serveur distant pour autoriser l'inclusion de fichier depuis l'extérieur. Mais bien évidement après il faut sécuriser en limitant l'accès sinon c'est une énorme faille de sécurité...

weabow · 13/07/2011, 08h15

Merci.

Comme tu le constates je suis relativement novice en PHP.

Il s'agit d'un dédié (Linux) et je fais ce que je veux dessus. Maintenant, aurais-tu un bout de lien qui puisse m'éclairer sur cette option que tu décris ?

Bien à toi.

Christian

transgohan · 13/07/2011, 09h35

Hum non je me suis avancé un peu tout seul dans un délire matinal en fait.

Citation:

Envoyé par php.net > include()

If "URL fopen wrappers" are enabled in PHP (which they are in the default configuration), you can specify the file to be included using a URL (via HTTP or other supported wrapper - see Supported Protocols and Wrappers for a list of protocols) instead of a local pathname. If the target server interprets the target file as PHP code, variables may be passed to the included file using a URL request string as used with HTTP GET. This is not strictly speaking the same thing as including the file and having it inherit the parent file's variable scope; the script is actually being run on the remote server and the result is then being included into the local script.

Donc en gros tu ne récupéras que le résultat (sans configuration nécessaire sur le serveur distant).

weabow · 13/07/2011, 09h40

Cool. Merci beaucoup.

Très bonne journée et bon réveil... (un café peut-être ?)

Christian

13/07/2011, 07h04	#1
weabow Invité de passage Christian Ressources humaines Inscription : octobre 2009 Messages : 22 Détails du profil Informations personnelles : Nom : Christian Âge : 52 Localisation : France, Loir et Cher (Centre) Informations professionnelles : Activité : Ressources humaines Secteur : Conseil Informations forums : Inscription : octobre 2009 Messages : 22 Points : 1 Points : 1	Sécurité : comment empêcher l'accès aux fonctions d'une bibliothèque Bonjour à tous, J'ai créé des bibliothèques de fonctions php (réutilisables) que j'utilise en faisant un include dans mes pages php. Ma question : comment empêcher un utilisateur mal intentionné de créer sur son serveur une page php qui elle-même fait un include sur mes pages de bibliothèques (sur mon serveur), et ainsi devient en capacité d'intervenir sur mes datas grâce à mes propres fonctions ? Christian
	00

13/07/2011, 08h10	#2
transgohan Membre Expert Baptiste ROUSSEL Étudiant Inscription : janvier 2011 Messages : 806 Détails du profil Informations personnelles : Nom : Baptiste ROUSSEL Localisation : France, Territoire de Belfort (Franche Comté) Informations professionnelles : Activité : Étudiant Informations forums : Inscription : janvier 2011 Messages : 806 Points : 1 520 Points : 1 520	Il suffit de configurer ton propre serveur pour interdire l'inclusion de code depuis l'extérieur. C'est configuré de base normalement, et si c'est pas le cas gros LOL pour ton hébergeur... De base en faisant l'inclusion d'un fichier PHP d'un autre serveur on inclut le code HTML généré par le serveur distant et non le code PHP. Cependant il est possible de configurer le serveur distant pour autoriser l'inclusion de fichier depuis l'extérieur. Mais bien évidement après il faut sécuriser en limitant l'accès sinon c'est une énorme faille de sécurité... __________________ Toujours se souvenir que la majorité des ennuis viennent de l'espace occupé entre la chaise et l'écran de l'ordinateur.
	10

13/07/2011, 08h15	#3
weabow Invité de passage Christian Ressources humaines Inscription : octobre 2009 Messages : 22 Détails du profil Informations personnelles : Nom : Christian Âge : 52 Localisation : France, Loir et Cher (Centre) Informations professionnelles : Activité : Ressources humaines Secteur : Conseil Informations forums : Inscription : octobre 2009 Messages : 22 Points : 1 Points : 1	Merci. Comme tu le constates je suis relativement novice en PHP. Il s'agit d'un dédié (Linux) et je fais ce que je veux dessus. Maintenant, aurais-tu un bout de lien qui puisse m'éclairer sur cette option que tu décris ? Bien à toi. Christian
	00

13/07/2011, 09h40	#5
weabow Invité de passage Christian Ressources humaines Inscription : octobre 2009 Messages : 22 Détails du profil Informations personnelles : Nom : Christian Âge : 52 Localisation : France, Loir et Cher (Centre) Informations professionnelles : Activité : Ressources humaines Secteur : Conseil Informations forums : Inscription : octobre 2009 Messages : 22 Points : 1 Points : 1	Cool. Merci beaucoup. Très bonne journée et bon réveil... (un café peut-être ?) Christian
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email