[Sécurité] Inclure tous les scripts depuis index.php = bien ou pas ?

Pat_AfterMoon · 25/10/2007, 17h02

Pour les 3 sites dynamiques en PHP que j'ai déjà réalisé, j'ai toujours eu un seul point d'entrée depuis l'extérieur, le fichier index.php. Je me chargeais ensuite d'inclure les fichiers nécessaires selon les paramètres passé par l'URL.

exemple :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
www.monsite.com/?page=contact
plutôt que
www.monsite.com/contact.php

En général je place mes "sous pages" du style contact.php dans un répertoire protégé par un .htaccess de façon à ce qu'elles ne soient pas accessibles hors du index.php. J'ai toujours trouvé cette technique pratique, le point d'entrée unique me permet de faire à un seul endroit toutes les vérifications (sécurité) et toutes les inclusions nécessaires.

Mais voilà, je suis en train de refaire de A à Z l'un de mes sites et je me pose des tas de questions philosophiques. Je remarque surtout qu'aucune application PHP open sources que je consulte ne fonctionne de cette façon.

Il y a peut être des raisons, vous avez des idées ?
référencement ? optimisation ? ... etc

parksto · 25/10/2007, 17h18

à ce compte là, tu peux utiliser de l'url rewriting pour renvoyer toutes tes pages vers index.php et traiter la demande dans cette page là.

exemple dans apache :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
# on démarre l'url rewriting
RewriteEngine on
# on renvoi tout sauf javascript, images, flash, etc vers index.php
RewriteRule !\.(js|gif|jpg|png|css|swf)$ index.php [L]

ps : tu peux recuperer l'adresse demandé avec :
- $_SERVER['REDIRECT_URL']
- $_SERVER['REQUEST_URI']

à toi de faire les tests nécessaires...

Pat_AfterMoon · 19/11/2007, 10h33

Merci pour la réponse parksto, mais en fait si je parlais de référencement c'était uniquement une hypothèse de ma part concernant le fait que pratiquement aucune applications PHP connue n'a un point d'entré unique. Avec l'url rewriting je sais que je n'ai pas de soucis à me faire pour le référencement.

Donc je me pose encore la question. Un point d'entrée unique m'oblige à faire des "include" conditionnels (inclure telle ou telle page selon les paramètres transmis). Est ce que cela ne perturberait pas la précompilation et la mise en cache par le serveur PHP, générant une surconsommation de ressources ?

Raideman · 19/11/2007, 13h17

Tout dépend de ce que tu inclues et de combien de ressources tu disposes...

Généralement, il en faut quand meme pour perturber le traitement d'une page a cause des "include".

parksto · 19/11/2007, 14h10

je n'ai pas beaucoup d'exemple sous la main (je n'utilise quasiment jamais les applications PHP connues, j'ai pour habitude de tout faire moi même), mais je sais que sfm à un point d'entrée unique.

tous mes sites, et applications php ont un point d'entré unique avec pas mal de fichiers inclus (des classes) dans le contrôleur principal, et les temps de génération n'ont rien à envier aux "grosse" applications.

mes fichiers index.php ressemblent à ça :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
<?php
require_once 'include/OF/OliControleur.php';
OliControleur::setLibDir(dirname(__FILE__).'/../lib/');
OliControleur::run('MonApplication');

Pat_AfterMoon · 22/11/2007, 17h19

Merci pour vos avis, je vais donc continuer à fonctionner avec mon index.php comme point d'entrée unique.

Seb33300 · 23/11/2007, 09h50

La meilleure façon de faire est de découpé ton index.php en 2 parties (head.php et foot.php)

Et ensuite en début et en fin de chacune de tes pages tu inclus tes 2 fichiers.
ça permet d'éviter d'avoir des url en index.php?page=mapage mais directement mapage.php ce qui est déja bien meilleur pour le référencement.

Raideman · 23/11/2007, 10h00

Citation:

Envoyé par Seb33300

La meilleure façon de faire est de découpé ton index.php en 2 parties (head.php et foot.php)

Et ensuite en début et en fin de chacune de tes pages tu inclus tes 2 fichiers.
ça permet d'éviter d'avoir des url en index.php?page=mapage mais directement mapage.php ce qui est déja bien meilleur pour le référencement.

Oui et non car on peut très bien rewriter (ce qui de toutes facons est nécessaire dans la plupart des cas) et rendre donc le système de fichiers du site très opaque.

Sergejack · 26/11/2007, 15h01

L'essentiel, c'est que tu traites bien les éléments de la requête pour ne pas permettre une inclusion malveillante

ex : http://www.monsite.com/index.php?pag...e.com/hack.dtc

19/11/2007, 13h17	#4
Raideman Membre Expert Inscription : octobre 2002 Messages : 1 141 Détails du profil Informations personnelles : Âge : 32 Localisation : France, Rhône (Rhône Alpes) Informations forums : Inscription : octobre 2002 Messages : 1 141 Points : 1 204 Points : 1 204	Tout dépend de ce que tu inclues et de combien de ressources tu disposes... Généralement, il en faut quand meme pour perturber le traitement d'une page a cause des "include". __________________ http://www.cimbat.com Mes contributions pour developpez.com Construire un calendrier dynamique avec AJAX conseil juridique en ligne
	00

19/11/2007, 10h33	#3
Pat_AfterMoon Membre régulier Inscription : septembre 2007 Messages : 107 Détails du profil Informations personnelles : Localisation : France Informations forums : Inscription : septembre 2007 Messages : 107 Points : 94 Points : 94	Merci pour la réponse parksto, mais en fait si je parlais de référencement c'était uniquement une hypothèse de ma part concernant le fait que pratiquement aucune applications PHP connue n'a un point d'entré unique. Avec l'url rewriting je sais que je n'ai pas de soucis à me faire pour le référencement. Donc je me pose encore la question. Un point d'entrée unique m'oblige à faire des "include" conditionnels (inclure telle ou telle page selon les paramètres transmis). Est ce que cela ne perturberait pas la précompilation et la mise en cache par le serveur PHP, générant une surconsommation de ressources ?
	00

22/11/2007, 17h19	#6
Pat_AfterMoon Membre régulier Inscription : septembre 2007 Messages : 107 Détails du profil Informations personnelles : Localisation : France Informations forums : Inscription : septembre 2007 Messages : 107 Points : 94 Points : 94	Merci pour vos avis, je vais donc continuer à fonctionner avec mon index.php comme point d'entrée unique.
	00

23/11/2007, 09h50	#7
Seb33300 Membre Expert Sébastien Alfaiate Développeur Web Inscription : janvier 2007 Messages : 1 330 Détails du profil Informations personnelles : Nom : Sébastien Alfaiate Âge : 26 Localisation : France, Gironde (Aquitaine) Informations professionnelles : Activité : Développeur Web Secteur : High Tech - Multimédia et Internet Informations forums : Inscription : janvier 2007 Messages : 1 330 Points : 1 659 Points : 1 659	La meilleure façon de faire est de découpé ton index.php en 2 parties (head.php et foot.php) Et ensuite en début et en fin de chacune de tes pages tu inclus tes 2 fichiers. ça permet d'éviter d'avoir des url en index.php?page=mapage mais directement mapage.php ce qui est déja bien meilleur pour le référencement.
	00

26/11/2007, 15h01	#9
Sergejack Membre chevronné Inscription : juillet 2006 Messages : 1 194 Détails du profil Informations forums : Inscription : juillet 2006 Messages : 1 194 Points : 751 Points : 751	L'essentiel, c'est que tu traites bien les éléments de la requête pour ne pas permettre une inclusion malveillante ex : http://www.monsite.com/index.php?pag...e.com/hack.dtc
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email