[Sécurité] protection données XML

nkdb · 04/04/2007, 16h11

Bonjour à tous,

je suis en train d'écrire une petite application qui manipule des données stockées dans un fichier xml/toto.xml.

J'utilise simpleXML pour faire tout ca ... pas de problèmes particuliers.

Mais voilà, l'accès au fichier xml/toto.xml est "free" !!! Ce qui ne va pas du tout, car il contient des infos "privées" !

Comment arriver à permettre le "load" du fichier XML par simpleXML tout en protégeant la lecture directe du fichier ?

Snifff ... j'espère que c'est possible ...

(j'ai deja regardé du coté du .htaccess et de la protection du répertoire par user/passwd ... mais ca ca va pas du tout).

Merci d'avance pour vos lumières

Mr N. · 04/04/2007, 16h20

Soit .htaccess en epechant tout acces à ton fichier
Soit tu sors ce fichier de l'espace web et tu le mets ailleurs sur ton disque.

nkdb · 05/04/2007, 14h15

bon je crois que je vais :
=> mettre mon XML dans une constante PHP définit ds un fic .php si SESSION ok.
=> J'inclus le fichier si SESSION ok
=> je "simpleXML load" via la constante.

Ca devrait sécuriser la chose.

Merci

Mr N. · 05/04/2007, 14h28

Pas du tout ! Ca ne va pas empecher les gens de contourner php pourattaquer directement le fichier xml...
Pour une page php :
requete --> apache --> php.
Pour une image gif, un fichier xml :
raquete --> apache.

nkdb · 05/04/2007, 14h38

J'ai un fic : datas.xml.php contenant (fonctionnellement) :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
 
<?php
 
Si $_SESSION[ok] (après procédure de connection) alors {
define de la constante DATAXML = "
<xml version="1.0">
<flag>fdatas</flag>
etc xml ...
"
}
?>

Puis dans le fichier où je veux utiliser les datas XMLisées :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
 
<?php
Si $_SESSION[ok] alors {
  include_once(data.xml.php);
  $XMLDATAS = load simpleXML data (constante DATAXML);
  utilisation des datas $XMLDATAS;
}
?>

Ca devrait marcher ca non ?

Mr N. · 05/04/2007, 14h40

Quand tu auras tout dis... Oui ça devrait etre bon, meme si ce n'est pas très propre (Mais je reconnais qu'on n'a pas tout le temps le choix).

nkdb · 05/04/2007, 14h44

j'aurais aussi préféré garder mon fichier datas.xml tout propre

...

Mr N. · 05/04/2007, 14h49

Pourquoi tu ne le déplace par hors de l'espace web ? C'est qui ton hébergeur ?

nkdb · 05/04/2007, 15h34

je suis chez 1and1 ... mais le truc c'est que ceci fait parti d'un dev d'un outils que je vais distribuer en GPL, qui une fois installé fonctionnera tout seul ... je voudrais eviter au max que les gens soient obligés de mettre les mains dans le cambouis, car je suppose que les espaces hors web varis seulon les hebergeurs ...?

Mr N. · 05/04/2007, 15h42

Oui par exemple chez free ça n'existe pas

04/04/2007, 16h11	#1
nkdb Invité régulier Inscription : juillet 2005 Messages : 31 Détails du profil Informations forums : Inscription : juillet 2005 Messages : 31 Points : 6 Points : 6	[Sécurité] protection données XML Bonjour à tous, je suis en train d'écrire une petite application qui manipule des données stockées dans un fichier xml/toto.xml. J'utilise simpleXML pour faire tout ca ... pas de problèmes particuliers. Mais voilà, l'accès au fichier xml/toto.xml est "free" !!! Ce qui ne va pas du tout, car il contient des infos "privées" ! Comment arriver à permettre le "load" du fichier XML par simpleXML tout en protégeant la lecture directe du fichier ? Snifff ... j'espère que c'est possible ... (j'ai deja regardé du coté du .htaccess et de la protection du répertoire par user/passwd ... mais ca ca va pas du tout). Merci d'avance pour vos lumières
	00

04/04/2007, 16h20	#2
Mr N. Expert Confirmé Sénior Inscription : septembre 2004 Messages : 5 421 Détails du profil Informations forums : Inscription : septembre 2004 Messages : 5 421 Points : 5 835 Points : 5 835	Soit .htaccess en epechant tout acces à ton fichier Soit tu sors ce fichier de l'espace web et tu le mets ailleurs sur ton disque. __________________ Get your motor runnin' Head out on the highway...
	00

05/04/2007, 14h28	#4
Mr N. Expert Confirmé Sénior Inscription : septembre 2004 Messages : 5 421 Détails du profil Informations forums : Inscription : septembre 2004 Messages : 5 421 Points : 5 835 Points : 5 835	Pas du tout ! Ca ne va pas empecher les gens de contourner php pourattaquer directement le fichier xml... Pour une page php : requete --> apache --> php. Pour une image gif, un fichier xml : raquete --> apache. __________________ Get your motor runnin' Head out on the highway...
	00

05/04/2007, 14h40	#6
Mr N. Expert Confirmé Sénior Inscription : septembre 2004 Messages : 5 421 Détails du profil Informations forums : Inscription : septembre 2004 Messages : 5 421 Points : 5 835 Points : 5 835	Quand tu auras tout dis... Oui ça devrait etre bon, meme si ce n'est pas très propre (Mais je reconnais qu'on n'a pas tout le temps le choix). __________________ Get your motor runnin' Head out on the highway...
	00

05/04/2007, 14h49	#8
Mr N. Expert Confirmé Sénior Inscription : septembre 2004 Messages : 5 421 Détails du profil Informations forums : Inscription : septembre 2004 Messages : 5 421 Points : 5 835 Points : 5 835	Pourquoi tu ne le déplace par hors de l'espace web ? C'est qui ton hébergeur ? __________________ Get your motor runnin' Head out on the highway...
	00

05/04/2007, 14h15	#3
nkdb Invité régulier Inscription : juillet 2005 Messages : 31 Détails du profil Informations forums : Inscription : juillet 2005 Messages : 31 Points : 6 Points : 6	bon je crois que je vais : => mettre mon XML dans une constante PHP définit ds un fic .php si SESSION ok. => J'inclus le fichier si SESSION ok => je "simpleXML load" via la constante. Ca devrait sécuriser la chose. Merci
	00

05/04/2007, 14h44	#7
nkdb Invité régulier Inscription : juillet 2005 Messages : 31 Détails du profil Informations forums : Inscription : juillet 2005 Messages : 31 Points : 6 Points : 6	j'aurais aussi préféré garder mon fichier datas.xml tout propre ...
	00

05/04/2007, 15h34	#9
nkdb Invité régulier Inscription : juillet 2005 Messages : 31 Détails du profil Informations forums : Inscription : juillet 2005 Messages : 31 Points : 6 Points : 6	je suis chez 1and1 ... mais le truc c'est que ceci fait parti d'un dev d'un outils que je vais distribuer en GPL, qui une fois installé fonctionnera tout seul ... je voudrais eviter au max que les gens soient obligés de mettre les mains dans le cambouis, car je suppose que les espaces hors web varis seulon les hebergeurs ...?
	00

05/04/2007, 15h42	#10
Mr N. Expert Confirmé Sénior Inscription : septembre 2004 Messages : 5 421 Détails du profil Informations forums : Inscription : septembre 2004 Messages : 5 421 Points : 5 835 Points : 5 835	Oui par exemple chez free ça n'existe pas __________________ Get your motor runnin' Head out on the highway...
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email