Discussion :

[hgushgus]

Salut !

Je viens poster ici une petite question histoire d'être sur de ne pas faire une faille de sécurité ... je m'explique :

-> je souhaite bloquer un répertoire (contenant seulement des .txt) par htaccess et htpasswd, pour que le contenu donc ne soit listable dans le navigateur seulement par les utilisateurs définis dans le .htpasswd ...

-> seulement il me faut autoriser l'écriture des .txt par un script php extèrieur à ce dossier, mais sur le même serveur ...

J'ai donc mis un htaccess comme suit, cela fonctionne, mais est-ce que ça n'ouvrirait pas la porte également à des scripts php d'un domaine externe ???

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
AuthUserFile /xxxxxxxx/www/admjob/paiements/.htpasswd
AuthGroupFile /dev/null
AuthName "Accès Restreint"
AuthType Basic
require valid-user
<Files *.php>
Order deny,allow
</Files>

[_Mac_]

Non, aucun risque, sauf si le script qui écrit ces .txt n'est pas correctement protégé.

Un script PHP venant d'un autre site (= ne tournant pas sur le même site que le tien) peut être assimilé à un visiteur quelconque navigant sur le site. Il n'aura donc pas d'accès en écriture. Pour avoir un accès en écriture il faut que le script tourne dans ton site, donc aucun risque.

[hgushgus]

Le problème pour le script qui écrit les txt c'est qu'il doit pouvoir être appelé par les réponses IPN de Paypal ... mais je pense avoir bien étudié le truc, même s'il est lancé malicieusement, ou directement dans le navigateur, les txt sont générés seulement après un échange de signature avec Paypal ... je suis pas un pro de la sécurité, mais je pense que c'est sécurit" !