Discussion :

[Marc31]

Bonjour à tous,

J'avais une petit question sur les failles include du genre <?php include("menu12.inc.php"); ?>.

Est ce vraiment dangereux de faire ceci?

Bonne journée

[Invité]

Bonjour,


????

A mon avis, ce qui est le plus dangeureux, c'est de na pas savoir / comprendre ce qu'on fait...

[EDIT] (lu sur le web) :

[...]Elle n'est pas liée à une vulnérabilité dans une fonction spéciale,
mais est due (comme beaucoup de failles en PHP) à une erreur de programmation commise par un développeur peu soucieux en matière de sécurité[...]

A priori, ça concerne surtout des codes du genre :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
<?php include($_GET['fichier']); ?>
ou
<?php include($variable); ?>

C'est sûr que là, sans tester correctement la variable avant, "y'a souci" !

Par contre, si le nom du fichier est écrit "en dur", pas de sushi.

[Marc31]

Merci Jreaux et je l'ai écrit en dure <?php include("menu12.inc.php"); ?>

et sinon j'ai trouvé ceci sur internet.

Pensez vous que le code ci-dessous est mieux, en terme de sécurité?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
<?php 
 
$pageh=preg_replace("/[^a-z0-9_ ]/i", ".", 'menu12.inc');
 
if(!@include("$pageh.php"))die("Cette page n'existe pas sur le serveur.");
 
?>

[Invité]

Si tu avais vraiment fait une recherche sérieuse sur internet,
tu aurais certainement trouver des codes, et surtout EXPLICATIONS (car c'est ce qui te manque le plus : COMPRENDRE).

Il ne m'a fallu que 30s. pour en trouver...

[Marc31]

Donc il vaut mieux que je reste sur le <?php include("menu12.inc.php"); ?> ???

[Invité]

Donc il vaut mieux que je reste sur le <?php include("menu12.inc.php"); ?> ???

Ca ne te parait pas évident ?