Discussion :

[beegees]

Bonsoir,

J'utilise ce genre de code dans mon site :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<?php include('panneau_de_configuration.php'); ?>

Je me demandais si un hacker pouvait pirater mon site avec ce genre de code ?

Le nom de la page ne se trouve pas dans l'URL, c'est pour ça que je me pose la question...

Un require pourrait m'amener les même problèmes qu'un include ?

Comment éviter ce genre de problème ? avec un basename ?

Merci d'avance pour l'aide.

bee

[sabotage]

Le nom de la page ne se trouve pas dans l'URL

tu veux plutôt dire qu'il n'y a que le nom du fichier.
Cela implique seulement que PHP va chercher le fichier a l'emplacement courant et dans les dossiers d'include.

require et include fonctionnent de la meme facon, sauf que require provoque une erreur fatale en cas de problème.

les "failles d'include" se posent seulement quand on utilise des variables pour le script inclus ; l'utilisateur pourrait alors faire s'inclure un fichier non souhaité.

[beegees]

les "failles d'include" se posent seulement quand on utilise des variables pour le script inclus

J'avais un doute, mais tu me retires ce doute.

Merci Sabotage.

bee

[Invité]

l'utilisateur pourrait alors faire s'inclure un fichier non souhaité.

Dans ce cas, on peut s'en prémunir :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
<?php 
$file_inclus_allowed = array('file1.php', 'file2.php', 'file3.php'); // liste des fichiers autorisés
if( in_array($file_inclus, $file_inclus_allowed) ){
   include($file_inclus); 
}
?>

[beegees]

Merci pour ton complément d'informations que j'avais déjà lu dans certains livres et pages web.

bee