[Htaccess] Comment interdire l'accès à certains fichiers ?

**guidav** · 28/09/2007, 09h46

Bonjour

J'essaye d'empêcher l'accès à certains fichiers (les fichiers excel, par exemple) d'un répertoire, j'ai donc créé un fichier .htaccess mais ça n'empêche rien. Quelqu'un pourrait-il me le corriger ? Merci d'avance

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
Voici le fichier en question :
<Files *.xls>
Order Deny, Allow
Deny all
</Files>

D'ailleurs, peut-on faire en sorte que seuls les fichiers .php et .htm* soient autorisés ? (je ne connais pas du tout les regex d'apache).

**julp** · 28/09/2007, 11h03

La directive Files, de base (utilisation que vous en faites), ne fait pas de "pattern matching". Vous devez rajouter un tilde pour l'indiquer voir faire plus simple en vous tournant vers la directive FilesMatch :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
<Files ~ "\.xls$">
    Order Deny,Allow
    Deny from all
</Files>

Ou :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
<FilesMatch "\.xls$">
    Order Deny,Allow
    Deny from all
</FilesMatch>

Documentation :

**guidav** · 28/09/2007, 13h57

Merci beaucoup, mais ça ne fonctionne pas même après avoir redémarré le serveur. Y a-t-il un module particulier à lancer dans le httpd.conf ?

J'ai dans mon httpd.conf une directive similaire (standatd) qui empêche de lire les fichiers .ht* et qui fonctionne parfaitement.

Mon problème serait-il lié au fait que les fichiers xls sont ouverts par IE par l'intermédiaire du plugin excel ?

**julp** · 28/09/2007, 15h39

Envoyé par guidav

Merci beaucoup, mais ça ne fonctionne pas même après avoir redémarré le serveur. Y a-t-il un module particulier à lancer dans le httpd.conf ?

Non elles font partie du core. Vous devriez corriger les erreurs de syntaxe que j'avais recopié (

) puis vérifier votre journal d'erreur qui doit en indiquer la cause.

A noter que pour être autorisé à utiliser ces directives dans un fichier htaccess, AllowOverride doit au moins avoir la valeur Limit pour le répertoire concerné.

**guidav** · 28/09/2007, 16h23

Ca doit venir de la directive AllowOverride, elle était à None pour tout.
Par contre, si je change sa valeur, j'ai systématiquement une erreur 500, mais je vais creuser.

**loopback** · 01/10/2007, 16h12

Envoyé par guidav

Ca doit venir de la directive AllowOverride, elle était à None pour tout.
Par contre, si je change sa valeur, j'ai systématiquement une erreur 500, mais je vais creuser.

essai ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
		<FilesMatch "\.(xls)$">
				Order allow,deny
				Deny from all
			</FilesMatch>

**guidav** · 01/10/2007, 17h04

Merci, mais ça ne change rien. Comme le dit julp, ça doit venir de la directive AllowOverride, mais je n'ai pas encore trouvé.

**_Mac_** · 02/10/2007, 17h09

Que y a-t-il dans les logs d'erreur d'Apache et quelle syntaxe exactement utilises-tu dans tes .htaccess ?

**guidav** · 02/10/2007, 17h53

Mon .htaccess est comme ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
<FilesMatch "\.(xls)$">
    Order Allow, Deny
    Deny from all
</FilesMatch>

et mon error.log donne quelquechose du genre :
[Tue Oct 02 16:37:23 2007] [error] [client xxx.xxx.xxx.xxx] PHP Notice: Undefined index: yyy in D:\\Donnees intranet\\02-Sites intranet\\xxx.php on line 500, referer: http://xxx/xxx.php

**_Mac_** · 03/10/2007, 10h54

Envoyé par guidav

et mon error.log donne quelquechose du genre :
[Tue Oct 02 16:37:23 2007] [error] [client xxx.xxx.xxx.xxx] PHP Notice: Undefined index: yyy in D:\\Donnees intranet\\02-Sites intranet\\xxx.php on line 500, referer: http://xxx/xxx.php

Ben c'est une erreur PHP que tu rencontres : le script xxx.php se trouve être appelé et ce script cherche l'index yyy dans un tableau ($tableau['yyy']) à la ligne 500, et il se trouve que cette entrée n'existe pas...

Quant à savoir si c'est normal que xxx.php soit appelé, j'en sais rien, c'est pas lié au paramétrage <FilesMatch>.

**guidav** · 03/10/2007, 11h08

Oups, je suis un boulet, j'ai pas mis la bonne ligne d'erreur (j'ai juste fait un search sur "500" dans le log...)

La ligne d'erreur devrait plutôt être celle-ci, mais je n'y connais rien:
[Fri Sep 28 16:15:09 2007] [alert] [client 1.205.5.122] D:/xxx/.htaccess: order takes one argument, 'allow,deny', 'deny,allow', or 'mutual-failure'

**julp** · 03/10/2007, 11h18

Vous avez du laisser les espaces avant ou après la virgule au niveau de deny/allow à la ligne du Order alors qu'il n'en faut pas.

**guidav** · 03/10/2007, 15h31

Merci julp, c'était exactement ça. Apache n'est pas très compréhensif avec les débutants.

EDIT : je me disais bien que ça ne pouvait pas être aussi simple, maintenant je n'ai plus accès à mes fichiers excel avec le code suivant qui devrait marcher :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
$chemin = 'http://xxx/'.$filename;
 header("Content-type: application/force-download"); 
 header("Content-Disposition: attachment; filename=$filename"); 
 readfile("$chemin");

Je croyais que readfile pasasit outre les restrictions des .htaccess ? C'est à cause du force-download que ça ne marche pas ?

**julp** · 03/10/2007, 16h39

Si vous passez par une URL HTTP il est normal qu'Apache en tienne compte. Bien qu'on puisse gérer ce cas à l'aide d'une règle Allow, je vous recommande d'utiliser directement un chemin local (ie /ma/racine/web/répertoire1/répertoire2/monfichier.xsl).