Discussion :

[Danyel]

Salut all,

J'ai cree une librairie php qui contient la totalite de mes scripts.
Maintenant je voudrais mettre en place un controle qui verifie qui appelle cette librairie (et ne l'autoriser que si c'est un appel du domaine/serveur)
J'ai cherche un peu partout pour trouver une solution fiable mais je n'ai chaque fois trouve que des scripts utilisant $_SERVER['HTTP_REFERER']
Le probleme c'est que la variable 'HTTP_REFERER' est tjrs vide ...

Qq connaitrait-il une script pour faire cela ou une solution, explication, correction pour avoir ce fameux 'HTTP_REFERER'
Merci pour votre aide.

[sabotage]

Met simplement tes fichiers dans un dossier bloqué par un fichier .htaccess
Le REFERER c'est la page qui a amené le client sur ton site. Quand tu accédes directement au site, il n'y a pas de referer.

[Danyel]

Met simplement tes fichiers dans un dossier bloqué par un fichier .htaccess

Tu parles d'un simple ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
<Files *>
    Order Allow,Deny
    Deny from All
</Files>

Le REFERER c'est la page qui a amené le client sur ton site. Quand tu accédes directement au site, il n'y a pas de referer.

Oui pour le referer et c'est exactement ce que je voulais. J'avais envisage de mettre un controle qui aurait controle le referer de l'appel a ma lib.
Soit une page qui appelle la lib et la le controle du referer, mais comme dit, la valeur du referer est tjrs vide. J'ai vu/lu qu'il etait possible de le desactiver manuellement cote client (setting/av/adblock), donc aucune utilite pour moi car ca doit fonctionner cote server pour etre efficace.

Je cherche tjrs un truc du genre

[mathieu]

comment est utilisé le code ? avec un "include" par exemple ?
dans ce cas, comme l'a dit sabotage seul le serveur aura accès à ce code donc pas besoin de faire de test dans le code PHP. il suffit d'interdire l'accès en passant par le serveur HTTP en mettant un "Deny from All"

[Danyel]

comment est utilisé le code ? avec un "include" par exemple ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

require_once(FUNCTIONS_DIR . 'mesfonctions.php');

dans ce cas, comme l'a dit sabotage seul le serveur aura accès à ce code donc pas besoin de faire de test dans le code PHP. il suffit d'interdire l'accès en passant par le serveur HTTP en mettant un "Deny from All"

J'avais deja mis le htaccess mais j'avoue que je voulais doubler au cas ou !!! NE dit-on pas qu'1 indien averti en vaut 2

Merci a tous les 2.

[mathieu]

NE dit-on pas qu'1 indien averti en vaut 2

et parfois 1 +1 = 3 avec un indien supplémentaire si le fichier mesfonctions.php ne contient que des définitions de fonctions ou de classes par exemple
dans ce cas, l'appel par le serveur exécute ce code et donc le résultat aurait été une page blanche si aucune fonction n'est appelée