Discussion :

[Droïde Système7]

Bonjour TLM,

En effet je viens d'être obligé de placer dans une page certains identifiants de connexions et des choses assez sensibles pour une appli.

Bref et peu importe l'amont.

Voici ma question précise : sachant qu'il n'y a aucun rapport avec une BdD ; ni include ; ni session ; ni aucun rattachement : est-ce que le contenu de cette page PHP est sécurisé = que personne ne puisse aller y faire ses courses ?

Même en cas de plantage ou autre du serveur = code devenu do-facto lisible

Merci d'avance de vos commentaires.

[grunk]

Dans le cas ou l'interprétation de PHP venait à ne plus marcher pour X raison , si le fichier est accessible depuis la racine web, quelqu'un pourrait le voir en texte et donc accéder au mot de passe.

C'est pour celà que en général tout le code applicatif est hors racine web. On alors juste un index "public" qui fait appel aux bons fichiers. En cas de défaillance on ne verrait que le contenu de ce fichier index, qui n'a pas d'intérêt particulier.

[Droïde Système7]

grunk,

Ah oui, hé bé...

Là une collègue me dit que son mari était tout fier l'autre fois de lui installer PHPMailler qui pour fonctionner doit comporter certains identifiants sur une page PHP.

Faut donc placer tout fichier sensible de ce genre hors racine ?

Quid ?

Merci @ +

[oles67]

grunk,

Ah oui, hé bé...

Là une collègue me dit que son mari était tout fier l'autre fois de lui installer PHPMailler qui pour fonctionner doit comporter certains identifiants sur une page PHP.

Faut donc placer tout fichier sensible de ce genre hors racine ?

Quid ?

Merci @ +

Bonjour,

ça m’intéresse aussi.

[Dendrite]

Non, pas de problème.
Tu ajoutes juste un index.php qui contient ceci :
Ici, j'imagine que tu as un répertoire nommé public.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
<?php
header('location:public/la_page_ou_tu_veux_quon_soit_renvoye.php');
?>

[grunk]

Dendrite ce que tu proposes ne fonctionne que dans le cas ou l'interpéteur PHP fonctionne.
Si ce n'est plus le cas, (PHp planté , erreur de config , etc ...) le fichier et son contenu peuvent être récupéré si ils sont dans la racine web (dossier www, public, public_html, etc ....)

C'est certes un cas rare , mais ça peut arriver.

La solution est donc de limiter au maximum ce qui est accessible via une requête http. LA "norme" veux donc qu'on y mette que les fichier publique tels que css,js,html et un fichier php qui permet d'aller chercher tous les autres qui eux ne sont pas accessible quoi qu'il arrive.