IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Langage PHP Discussion :

[PHP-JS] Est-il utile de placer ses fichiers en dehors du dossier WW...


Sujet :

Langage PHP

  1. #1
    Inscrit
    Profil pro
    Inscrit en
    Juin 2006
    Messages
    531
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juin 2006
    Messages : 531
    Points : 282
    Points
    282
    Par défaut [PHP-JS] Est-il utile de placer ses fichiers en dehors du dossier WW...
    Bonjour,

    J'avais lu une fois que pour assurer une bonne sécurité, il est utile de placer ses scripts en dehors du répertoire WWW afin qu'ils ne puissent être ouverts dans le navigateur.

    Je le fais, mais pas toujours et je voudrais savoir si c'est bien utile et si oui pourquoi.


    Qu'en pensez-vous ?

  2. #2
    Expert éminent
    Avatar de berceker united
    Profil pro
    SQL
    Inscrit en
    Février 2005
    Messages
    3 487
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : SQL
    Secteur : Finance

    Informations forums :
    Inscription : Février 2005
    Messages : 3 487
    Points : 6 030
    Points
    6 030
    Par défaut
    Citation Envoyé par JackBeauregard
    Bonjour,

    J'avais lu une fois que pour assurer une bonne sécurité, il est utile de placer ses scripts en dehors du répertoire WWW afin qu'ils ne puissent être ouverts dans le navigateur.

    Je le fais, mais pas toujours et je voudrais savoir si c'est bien utile et si oui pourquoi.


    Qu'en pensez-vous ?
    Totalement inutile des lors ou le contenu du script n'est pas envoyé au navigateur. Si tes fichier scripts ont comme extension .inc mais que le navigateur n'est pas configuré pour dire que les fichiers .inc c'est du php alors là oui le code sera visible coté client. Problème se résou simplement donnant comme extension .php ou .inc.php
    Mon avatar ? Ce n'est rien, c'est juste la tête que je fais lorsque je vois un code complètement frappa dingue !...

  3. #3
    Membre habitué
    Profil pro
    Inscrit en
    Mai 2005
    Messages
    147
    Détails du profil
    Informations personnelles :
    Localisation : France, Alpes Maritimes (Provence Alpes Côte d'Azur)

    Informations forums :
    Inscription : Mai 2005
    Messages : 147
    Points : 165
    Points
    165
    Par défaut
    >Problème se résou simplement donnant comme extension .php ou .inc.php

    si l'interpréteur php tombe en rade pour une raison ou une autre le code sera visible quelque soit l'extension.

    en revanche :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
     
    include('toto.php');
    où toto.php est placé en dehors du www n'affichera que "include('toto.php');" sur le navigateur, et toto.php restera inacessible tout comme son code (le mieux est aussi d'utiliser la configuration include_path pour cacher le path réel).

    cela permet aussi d'empêcher d' appeler directement un script, donc oblige de passer obligatoirement par le fichier qui l'inclue (ça peut éviter des erreurs en fonction de l'architecture).

    +

  4. #4
    Expert éminent
    Avatar de berceker united
    Profil pro
    SQL
    Inscrit en
    Février 2005
    Messages
    3 487
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : SQL
    Secteur : Finance

    Informations forums :
    Inscription : Février 2005
    Messages : 3 487
    Points : 6 030
    Points
    6 030
    Par défaut
    Citation Envoyé par tthierry
    >Problème se résou simplement donnant comme extension .php ou .inc.php

    si l'interpréteur php tombe en rade pour une raison ou une autre le code sera visible quelque soit l'extension.

    en revanche :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
     
    include('toto.php');
    où toto.php est placé en dehors du www n'affichera que "include('toto.php');" sur le navigateur, et toto.php restera inacessible tout comme son code (le mieux est aussi d'utiliser la configuration include_path pour cacher le path réel).

    cela permet aussi d'empêcher d' appeler directement un script, donc oblige de passer obligatoirement par le fichier qui l'inclue (ça peut éviter des erreurs en fonction de l'architecture).

    +
    "L'interpréteur qui tombe en rade" . Tomber sur quelqu'un qui connait php + mal attentionné c'est une chance sur plusieur millions même si il est les code mysql il pourra rien y faire si le server est en localhost.
    Tu peux placer les fichiers scripts à l'exterieurs du www/ mais je pense que tu psychote un peut trop. Détent toi un peut
    Mon avatar ? Ce n'est rien, c'est juste la tête que je fais lorsque je vois un code complètement frappa dingue !...

  5. #5
    Membre habitué
    Profil pro
    Inscrit en
    Mai 2005
    Messages
    147
    Détails du profil
    Informations personnelles :
    Localisation : France, Alpes Maritimes (Provence Alpes Côte d'Azur)

    Informations forums :
    Inscription : Mai 2005
    Messages : 147
    Points : 165
    Points
    165
    Par défaut
    >"L'interpréteur qui tombe en rade"

    ok

    mais faut pas oublier :
    cela permet aussi d'empêcher d' appeler directement un script, donc oblige de passer obligatoirement par le fichier qui l'inclue (ça peut éviter des erreurs en fonction de l'architecture).

    là c'est déja plus accessible

  6. #6
    Membre éprouvé

    Profil pro
    Inscrit en
    Mai 2005
    Messages
    657
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Mai 2005
    Messages : 657
    Points : 910
    Points
    910
    Par défaut
    cela permet aussi d'empêcher d' appeler directement un script, donc oblige de passer obligatoirement par le fichier qui l'inclue (ça peut éviter des erreurs en fonction de l'architecture).
    Ca peut-être fait très facilement en utilisant mod_access d'apache. Il est d'ailleur fréquent d'avoir un dossier avec tout les includes qui contient un .htaccess avec "Deny from all".

    De nombreux hebergeurs ne permettent pas de placer des fichiers en dehors de "www", ce qui peut-être un problème si l'on veut redistribuer l'appli en question
    Toute la documentation Ruby on Rails : gotapi.com/rubyrails
    Mes articles :
    > HAML : langage de template pour Ruby on Rails

  7. #7
    Membre éclairé
    Avatar de kankrelune
    Profil pro
    Inscrit en
    Décembre 2005
    Messages
    763
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Décembre 2005
    Messages : 763
    Points : 858
    Points
    858
    Par défaut
    Le seul interet de placer des fichiers hors de l'arbo http c'est pour des fichiers en streaming/download (et encore qu'un répertoire avec .htaccess peut faire l'affaire) ou pour des fichiers de configuration serveur tel que les .htpwrd et .htgroup... .. .

    @ tchaOo°

Discussions similaires

  1. Réponses: 4
    Dernier message: 06/03/2013, 11h04
  2. [Généralités] Où placer ses fichiers de données ?
    Par michel.souris dans le forum WinDev
    Réponses: 11
    Dernier message: 07/01/2013, 11h26
  3. Placer les fichiers auxiliaires dans un dossier
    Par Caspi dans le forum Mise en forme
    Réponses: 2
    Dernier message: 28/06/2012, 00h55
  4. Réponses: 0
    Dernier message: 26/02/2009, 20h08
  5. [Joomla!] Est-il possible de placer du code PHP dans un article ?
    Par laurent77 dans le forum EDI, CMS, Outils, Scripts et API
    Réponses: 1
    Dernier message: 20/08/2008, 10h53

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo