[PHP-JS] Est-il utile de placer ses fichiers en dehors du dossier WW...

JackBeauregard · 23/09/2006, 21h59

Bonjour,

J'avais lu une fois que pour assurer une bonne sécurité, il est utile de placer ses scripts en dehors du répertoire WWW afin qu'ils ne puissent être ouverts dans le navigateur.

Je le fais, mais pas toujours et je voudrais savoir si c'est bien utile et si oui pourquoi.

Qu'en pensez-vous ?

berceker united · 25/09/2006, 12h46

Citation:

Envoyé par JackBeauregard

Bonjour,

J'avais lu une fois que pour assurer une bonne sécurité, il est utile de placer ses scripts en dehors du répertoire WWW afin qu'ils ne puissent être ouverts dans le navigateur.

Je le fais, mais pas toujours et je voudrais savoir si c'est bien utile et si oui pourquoi.

Qu'en pensez-vous ?

Totalement inutile des lors ou le contenu du script n'est pas envoyé au navigateur. Si tes fichier scripts ont comme extension .inc mais que le navigateur n'est pas configuré pour dire que les fichiers .inc c'est du php alors là oui le code sera visible coté client. Problème se résou simplement donnant comme extension .php ou .inc.php

tthierry · 25/09/2006, 13h50

>Problème se résou simplement donnant comme extension .php ou .inc.php

si l'interpréteur php tombe en rade pour une raison ou une autre le code sera visible quelque soit l'extension.

en revanche :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
include('toto.php');

où toto.php est placé en dehors du www n'affichera que "include('toto.php');" sur le navigateur, et toto.php restera inacessible tout comme son code (le mieux est aussi d'utiliser la configuration include_path pour cacher le path réel).

cela permet aussi d'empêcher d' appeler directement un script, donc oblige de passer obligatoirement par le fichier qui l'inclue (ça peut éviter des erreurs en fonction de l'architecture).

+

berceker united · 25/09/2006, 13h55

Citation:

Envoyé par tthierry

>Problème se résou simplement donnant comme extension .php ou .inc.php

si l'interpréteur php tombe en rade pour une raison ou une autre le code sera visible quelque soit l'extension.

en revanche :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
include('toto.php');

où toto.php est placé en dehors du www n'affichera que "include('toto.php');" sur le navigateur, et toto.php restera inacessible tout comme son code (le mieux est aussi d'utiliser la configuration include_path pour cacher le path réel).

cela permet aussi d'empêcher d' appeler directement un script, donc oblige de passer obligatoirement par le fichier qui l'inclue (ça peut éviter des erreurs en fonction de l'architecture).

+

"L'interpréteur qui tombe en rade"

. Tomber sur quelqu'un qui connait php + mal attentionné c'est une chance sur plusieur millions même si il est les code mysql il pourra rien y faire si le server est en localhost.
Tu peux placer les fichiers scripts à l'exterieurs du www/ mais je pense que tu psychote un peut trop. Détent toi un peut

tthierry · 25/09/2006, 14h05

>"L'interpréteur qui tombe en rade"

ok

mais faut pas oublier :
cela permet aussi d'empêcher d' appeler directement un script, donc oblige de passer obligatoirement par le fichier qui l'inclue (ça peut éviter des erreurs en fonction de l'architecture).

là c'est déja plus accessible

Taum · 25/09/2006, 14h38

Citation:

cela permet aussi d'empêcher d' appeler directement un script, donc oblige de passer obligatoirement par le fichier qui l'inclue (ça peut éviter des erreurs en fonction de l'architecture).

Ca peut-être fait très facilement en utilisant mod_access d'apache. Il est d'ailleur fréquent d'avoir un dossier avec tout les includes qui contient un .htaccess avec "Deny from all".

De nombreux hebergeurs ne permettent pas de placer des fichiers en dehors de "www", ce qui peut-être un problème si l'on veut redistribuer l'appli en question

kankrelune · 25/09/2006, 15h00

Le seul interet de placer des fichiers hors de l'arbo http c'est pour des fichiers en streaming/download (et encore qu'un répertoire avec .htaccess peut faire l'affaire) ou pour des fichiers de configuration serveur tel que les .htpwrd et .htgroup... .. .

@ tchaOo°

23/09/2006, 21h59	#1
JackBeauregard Inscrit Inscription : juin 2006 Messages : 531 Détails du profil Informations forums : Inscription : juin 2006 Messages : 531 Points : 225 Points : 225	[PHP-JS] Est-il utile de placer ses fichiers en dehors du dossier WW... Bonjour, J'avais lu une fois que pour assurer une bonne sécurité, il est utile de placer ses scripts en dehors du répertoire WWW afin qu'ils ne puissent être ouverts dans le navigateur. Je le fais, mais pas toujours et je voudrais savoir si c'est bien utile et si oui pourquoi. Qu'en pensez-vous ?
	00

25/09/2006, 15h00	#7
kankrelune Membre chevronné Inscription : décembre 2005 Messages : 766 Détails du profil Informations forums : Inscription : décembre 2005 Messages : 766 Points : 745 Points : 745	Le seul interet de placer des fichiers hors de l'arbo http c'est pour des fichiers en streaming/download (et encore qu'un répertoire avec .htaccess peut faire l'affaire) ou pour des fichiers de configuration serveur tel que les .htpwrd et .htgroup... .. . @ tchaOo° __________________ la doc php / error_reporting(E_ALL) / register_globals à off et
	00

25/09/2006, 14h05	#5
tthierry Membre actif Inscription : mai 2005 Messages : 147 Détails du profil Informations personnelles : Localisation : France, Alpes Maritimes (Provence Alpes Côte d'Azur) Informations forums : Inscription : mai 2005 Messages : 147 Points : 164 Points : 164	>"L'interpréteur qui tombe en rade" ok mais faut pas oublier : cela permet aussi d'empêcher d' appeler directement un script, donc oblige de passer obligatoirement par le fichier qui l'inclue (ça peut éviter des erreurs en fonction de l'architecture). là c'est déja plus accessible
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email