Bonjour

En révérence à la discussion suivante, je pense que je me rapproche un peu de cette problématique.

J'ai une application qui me permet d'insérer des documents par upload.
Les utilisateurs peuvent ensuite accéder à ces documents en ligne.

Mon soucis est de limiter les choses faisables depuis le répertoire upload.
En particulier, je ne veux pas que les script soient exécutables.

Actuellement, si j'upload un script PHP, celui ci est interprété, ce qui introduit une faille monstrueuse dans le site et permet à n'importe qui de faire n'importe quoi.

J'ai entrevu des dizaines de solution pour filtrer les fichiers uploadé, mais cette solution ne me convient pas pour plusieurs raisons :
- Je ne vois pas pourquoi mes utilisateurs ne pourrait pas mettre en ligne un fichier PHP pour le partager entre eux.
- Je pense que quoi qu'il arrive, si le serveur a la possibilité d'exécuter du code dans un répertoire, on peut toujours faire en sorte de passer les sécurité.(j avais vu un exemple ou quelqu'un mettait simplement monfichier.php.jpg pour passer la moitié des tests.
- l'application a 5 ans, fais des millions de lignes et la modifier de partout, j ai pas envie...

Bref, est ce que la solution des virtual host est facile à mettre en place, et surtout, peut on interdire l'exécution de fichiers PHP directement dans le HTTPD.conf sans créer de virtual host(je ne suis pas sur que l'on ai accès a ce paramétrage chez l'hébergeur).