Discussion :

[speedev]

Bonjour,

J'utilise Smarty et je souhaiterais pouvoir empêcher un visiteur quelconque sur mes sites d'accéder directement à mes templates smarty depuis son navigateur sans passer par ma page principale (index.php).

Je pensais à faire ceci :
- Renommer tous mes tpl avec l'extension .tpl.php
- Encadrer le code du template entre deux lignes PHP à savoir :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
<?php if ($right_of_open) { ?>
[ Le code du template ]
<?php } else { echo "Vous n'êtes pas autorisé à consulter cette page"; ?>

La page index principale disposant de

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$right_of_open = true;

C'est opérationnel biensur mais avez-vous une solution plus pratique (plus propre) svp ?

merci

[Raideman]

Bien en fait, et je suis désolé si ça ne répond pas à ta question, je ne comprends pas l'intérêt d'empecher la visualisation d'un template. Après tout, le but du template est d'etre affiché non ? Donc de toutes façons on peut afficher le source de la page et deviner assez simplement la structure du template je pense.

De plus, je ne pense pas que les données incluses dans le template soient sources de failles de sécurité.

M'enfin, peut etre as tu des besoins vraiment spécifiques sur ce point là.

[speedev]

Oui mais il s'agit d'un site avec authentification d'utilisateur donc on dipose de tags SMARTY spécifiques dans les templates, par exemple :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
 
{if $login!=0}
<div id="left">
	<div class="menu_left">
		<div class="logo spacer">
			Données spécifiques pour login
		</div>
	</div>
</div>
{else}
<div id="left">
	<div class="menu_left">
		<div class="logo spacer">
			Données pour tout le monde
		</div>
	</div>
</div>
{/if}

Si tu appelles ce template tu verras les tags smarty directement dans la page (!!!) car les libs smarty ne sont pas appelées.

Peut-être y a t-il quelque chose de prévu avec smarty pour cela ?

[speedev]

Franchement je trouve cela très surprenant. Il doit bien exister une méthode pour masquer ce code. Même s'il n'avance pas beaucoup un éventuel petit malin à faire des bêtises c'est quand même une "mise à nu" d'un code censé être lu par le serveur (PHP).

Ou alors j'ai zappé quelque chose...

[Raideman]

Ben comme je le disais, je ne vois pas en quoi voir les tags smarty pourraient constituer une faille ...

[speedev]

non mais faut admettre qu'il s'agit de code de traitement (comme PHP) et qu'il n'est pas censé être vu par le client...