Discussion :

[Emilie012]

Bonjour,

Je découvre le .htaccess mais je ne parviens pas à l'utiliser. J'ai pourtant fait une manip simple:
1-creation du .htaccess dans htdocs
2-j'ai écrit ca et seulement ca dedans : "ErrorDocument 404 /index.php"
3-je tape l'url http://localhost/mauvaisnomdepage

et j'ai tout de même l'erreur 404 ??? gloups

Une idée ?

Merci à vous tous

Em.

[julp]

Mais la configuration d'Apache vous permet-elle d'utiliser cette directive dans un fichier .htaccess placé dans ce répertoire ? Sachant que cela requiert AllowOverride FileInfo (voir All).

[Emilie012]

Mais, j'ai fait une recherche justement sur le net pour savoir comment configurer apache mais je n'ai rien trouvé, comme je m'y suis prise ...
Avez-vous un lien qui explique la config apache pour le htacess ?
Merci

[_Mac_]

La configuration dont parle Julp se situe dans le fichier httpd.conf d'Apache. Il faut regarder s'il y a une directive AllowOverride à un endroit qui concerne htdocs. Si elle est à None, essaie en mettant All à la place, redémarre Apache et fait un test. Si tu ne sais pas trop parce qu'il y a plusieurs AllowOverride dans le fichier, poste un message en donnant ton fichier httpd.conf.

Si jamais tu fais la manip et que ça change rien :

et j'ai tout de même l'erreur 404 ??? gloups

Peux-tu détailler ce point, s'il te plait ? Que tu aies une erreur 404, certes, mais que vois-tu sur ton écran ? S'agit-il de l'écran d'erreur 404 de base d'Internet Explorer ou est-ce autre chose ? Si tu utilises Internet Explorer pour tester, peux-tu aller dans les options Internet, onglet Avancé, décocher la case "Afficher les messages HTTP simplifiés", valider et recommencer le test. A ce moment-là, dis-nous ce qui est écrit à l'écran.

[Emilie012]

ok j'ai compris ca marche maintenant si je tape un mauvais nom de page ca retourne bien à l'index.

Mais pourquoi un .htaccess sécurise un site ? on a vraiment pas grand chose à mettre dedans
Et puis faire un htpasswrd, oui je comprends le principe mais je n'arrive même pas à voir le mot de passe de ma base de donnée qui se trouve dans un des fichier php ... comment fons les autres pour voir le contenu d'un fichier php ???

[_Mac_]

Mais pourquoi un .htaccess sécurise un site ? on a vraiment pas grand chose à mettre dedans

Un fichier .htaccess n'est spécialement fait pour sécuriser un site. Par exemple, dans ton cas, tu dis simplement que quand il y a une erreur 404, plutôt que d'afficher une page générique, tu demandes à Apache d'afficher /index.php. Un .htaccess c'est fait pour définir différents paramètres de configuration Apache en fonction de l'endroit où tu te trouves dans le docroot. Un .htaccess porte sur le répertoire dans lequel il se trouve + tous les sous-répertoires. C'est pas très clair, ce que je dis, alors on va prendre un exemple : dans le répertoire racine, tu mets ton .htaccess avec ton ErrorDocument 404 ... Ca, ça dit à Apache : "pour le répertoire où se trouve le .htaccess et pour tous les sous-répertoires (donc tout le site), affiche telle page quand tu rencontres une erreur 404, i.e. lorsque tu ne trouves pas la page qu'on demande". Maintenant, tu peux mettre dans une sous-répertoire un .htaccess avec la configuration qui va bien pour dire "personne n'accède à ce répertoire et ses sous-répertoires sauf si on donne le login et le mot de passe qui va bien" (= sécurisation). Dans ce cas, cette config ne concernera que le répertoire dans lequel ce trouve ce .htaccess qui dit ça et ses sous-répertoires.

Et puis faire un htpasswrd, oui je comprends le principe mais je n'arrive même pas à voir le mot de passe de ma base de donnée qui se trouve dans un des fichier php ... comment fons les autres pour voir le contenu d'un fichier php ???

De quoi parles-tu ? Tu t'es fait pirater ou un truc du genre ?

[Emilie012]

non pas encore mais je suis en train d'apprendre à sécuriser un site car c'est pas mon fort, case voit
Je fais bien la distinction maintenant entre la config d'apache faite par le .htaccess et la sécurisation, c'est plus clair, cela dit, sans protection aucune, moi, je ne parviens pas à ouvrir mon fichier php par l'url qui contient mon mot le passe de ma base de donnée, donc je me demande comment font les hackers (ou pas d'ailleurs) pour voir le contenu de certains fichiers php, entre autre pour récupérer les mots de passe de la base de donnée ?

[_Mac_]

Ils passent par des failles du code PHP. Par exemple, si tu mets tes mots de passe dans un fichier qui n'est pas en .php mais .inc, par exemple, quand tu appelles http://xxx.com/rep/bdd.inc, le serveur ne sait pas que c'est du PHP (parce que le fichier ne se termine pas en .php) et renvoie donc directement le fichier sans l'interpréter et tu vois les mots de passe.

Moralité : tout fichier PHP doit s'appeler xxx.php

Autre chose : si tu as un fichier .php qui contient des mots de passe (ou autre chose) et qu'il n'est utilisé que dans un autre script PHP par include ou require, il peut être intéressant de mettre ce fichier dans un sous-répertoire et de bloquer l'accès direct par HTTP à ce sous-répertoire et ce fichier en mettant dans le sous-répertoire de ce fichier un .htaccess contenant uniquement "Deny from all" (sans les ").