Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
Include est il sécurisé ?
Bonjours à tous, je me posais une question à propos de l'include en PHP. Je voudrai intégrer un script qui envoie un e-mail avec la commande de l'utilisateur dans une de mes pages PHP mais je me disais que si l'utilisateur trouvais l'adresse de mon script PHP et le lançais simplement dans son navigateur il pourrai s'envoyer les codes dans avoir payer. Est il possible d'éviter ça ou est ce que cette technique ne marche simplement pas. Merci et bonne journée
Tu ne nous as pas vraiment décrit ta situation.
Il me semble comprendre que tu fais quelque chose comme
et tu te demandes ce qui se passe si l'utilisateur appelle directement mail.php ?
Code : Sélectionner tout - Visualiser dans une fenêtre à part
2
Donc en fait tu ne veux pas savoir si include() apporte une sécurité mais plutôt savoir ce qui se passe si l'utilisateur contourne l'include ?
Pour répondre de manière générale, si tu as un script qui n'a pas vocation a être appelé directement par l'utilisateur (ou par ajax), il n'a pas besoin d'être dans l’arborescence web, ou au moins tu peux le placer dans un répertoire interdit d'accès par le serveur.
Dans ton cas je suppose que l'adresse email est fournie par le script de commande, donc si un utilisateur appellait directement mail.php, il n'aurait pas d'email pour traiter un envoi. (on espère que ton hébergement n'est pas un vieux serveur avec "register global" actif).
Ca serait cependant bien que ton script de mail contienne un contrôle sur la validité de l'utilisateur qu'il va servir.
Merci beaucoup pour ta réponse. C'est exactement la question que je me posais.
Par contre pour la fin :
Qu'est ce qu'un serveur register global ?"Dans ton cas je suppose que l'adresse email est fournie par le script de commande, donc si un utilisateur appellait directement mail.php, il n'aurait pas d'email pour traiter un envoi. (on espère que ton hébergement n'est pas un vieux serveur avec "register global" actif).
Ca serait cependant bien que ton script de mail contienne un contrôle sur la validité de l'utilisateur qu'il va servir. "
Alors il suffirait que je stock dans une variable SESSION et que je l'intègre dans mon script d'envoi placé dans un dossier inaccessible. Après he le demande comment creeer un dossier sécurisé.
Merci pour ta réponse.
http://php.net/manual/fr/security.globals.phpQu'est ce qu'un serveur register global ?
stocker quoi ?Alors il suffirait que je stock dans une variable SESSION
Sur un serveur Apache, tu mets simplement dans le dossier un fichier .htaccess contenant Deny from allAprès he le demande comment creeer un dossier sécurisé.
Pour stocker l'adresse mail de l'utilisateur et que je puisse l'inclure dans mon script d'envoie qui sera inaccessible. Merci pour tes réponses.
Il n'y a pas besoin de session pour çà puisque ton script de mail est inclus dans le premier, il accède déjà à toutes les variables.
D'accord, merci beaucoup pour toutes tes réponses.Il n'y a pas besoin de session pour çà puisque ton script de mail est inclus dans le premier, il accède déjà à toutes les variables.
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Répondre avec citation
Partager