Discussion :

[herves2005]

Bonjour/Bonsoir chers développeurs et "développeuses"...
J'ai, un gros problème....
En fait, j'essai de protéger mes répertoires grâce à un fichier htaccess.
Je suis novice en php et pour dire je ne m'y suis mis qu'il y'a deux jours.
En asp.net on possède le web.config avec des directives path etc...
Par contre pour le Htaccess comment faire?.
Mon arborescence est la suivantes: 7 dossiers: Models,Views,Controls,Script,Plugins,Css ,Images
Je sois empêcher tout accès à models, rontrols,et script et à leurs fichiers et sous dossiers respectifs.
Les directives Directory / DirectoryMatch ne marchent pas . Il semble que seul le HTTPd.conf peut les utiliser. Comment m'en sortir?
(Je ne souhaite pas créer un .htaccess pour chaque dossier à protéger, c'est trop)
Je précise en outre que j'ai installer wampserver 2.4 et que non je n'e pourrai pas accéder au httpd.cpnf, l'hébergeur n'est pas fou.

[Marc3001]

(Je ne souhaite pas créer un .htaccess pour chaque dossier à protéger, c'est trop)

Pas sûr que tu aies le choix

[herves2005]

Si donc je dois utiliser beaucoup de .htaccess.. dont un en particulier sur mon répertoire de scripts.. Pourrai je moi même y avoir accès? Précisément un "deny from all" sur ce répertoire ne m'empêchera t il pas d'appeler mon script depuis un de mes fichiers php?
autre chose quel différence entre édeny from all" et "required all denied"?

[Marc3001]

7 htaccess ça n'est pas "beaucoup".

Si tu veux que les pages s'affichent correctement, je te déconseille de bloquer l'accès aux répertoire image, css et script (javascript j'imagine).

Require c'est pour du Apache >= 2.4.
Allow sera pour du Apache <= 2.2.

[herves2005]

Merci pour tes réponses.
J'ai d'autres questions..
Comment faire alors pour empêcher un utilisateur de se "balader" comme le proprio dans mes dossiers? Même en plaçant 7 htaccess, si je devais me résoudre à les verrouiller un répertoire tel "script" ,comment faire pour y avoir accès moi même? ou du moins pour qu'un de mes fichiers puisse y accéder?
Dans le cas des répertoires "Control" et "Model"..Comment faire pour qu'ils ne soient ni visibles, ni accessibles et que leurs fichiers n'existent pas non plus sauf pour moi (moi étant un de mes scripts php)? Quelles directives écrire dans htaccess?

[_Mac_]

Protection contre le hot linking.

[herves2005]

j'ai lu quelques fils sur le "hotlinking". Que pensez vous du code suivants?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?nom_du_site\.quelquechose/.*$ [NC]
 
RewriteRule \.(gif|jpg|js|css|png|config)$ - [F]

[herves2005]

J'ai employés les directives précédentes, elles ne fonctionnent pas. Quand je demande une image, il me l'affiche..Quand je demande un fichier javascript, il me l'affiche aussi...C'est écœurant de découvrir son script aussi clairement affiché.

[Marc3001]

Tu tentes d'afficher tes fichiers depuis un site autre que celui déclaré dans les RewriteCond ?
Parceque si tu tentes de les afficher via ton site, heureusement que cela fonctionne sinon tes pages ne pourraient pas les afficher....

Du coup comment t'as fait ton test ?

[herves2005]

Ah ouais je me suis trompé alors.....en fait j'essaie d'empêcher l'affichage d'un fichier (js) dans la fenêtre du navigateur. Par exemple je veux lorsque je fais un monsite.local/scripts/login.js soit une redirection, soit une erreur 404..bref je veux empêcher la visualisation, le téléchargement de mes scripts par autre chose qu'une de mes pages html/php..

[Marc3001]

Il faut que tu saches que quand un navigateur affiche ta page html, il télécharge lui-même le fichier js, css, image en utilisant une requête HTTP de la même façon que toi tu le fais en tapant directement l'url dans la barre d'adresse.

De plus, je ne vois pas trop l'interêt que tu as à bloquer l'accès à ces fichiers vu que le résultat final c'est bien qu'un utilisateur affiche ces images, ait accès à ces js et css pour pouvoir les appliquer à tes pages....

[herves2005]

D'accord je vais donc laisser "libre" les fichiers de "rendu"...par contre les fichiers comme de tpe contrôleurs et modeles (MVC) peuvent ils eux être cachés?

[_Mac_]

Pour les fichiers qui sont en include PHP, utilise le Deny from all.

Sinon, pour les appels directs aux images, etc. c'est la condition de la ligne 2 du .htaccess que tu donnais ce matin à 9h41 qui fait que la marche. Essaie de comprendre ce que tu as écrit : "si REFERER non vide et REFERER ne venant pas de ton site, alors on bloque pour les .js, etc.". Sauf que quand tu copies-colles ou tapes une URL directement dans la barre d'adresse du navigateur, le referer est vide, donc la règle n'est pas appliquée et Apache affiche le fichier.