PHP non sécurisés ça existe ?

FoxLeRenard · 19/01/2009, 02h21

Bonjour toutes et tous,

Je n'en reviens pas, et c' est une premiére, je me promenais sur un gros site web, et soudain en passant sur une autre page, ils me proposent de télécharger le PHP ...

Je l'ais enregistré sur mon DD et ce soir avant de vous écrire, je retourne sur ce site , et tout est normal !

Mais alors je me dis, un beau jour sur un de mes sites quelqu'un tombera sans que j'en soit avrtis sur le PHP qui a le mot de passe de MYSQL ou autre ...

Alors HELP !! avez vous déjas vu ce phénoméne se produire ?

Merci de vos avis

**LogistiX** · 19/01/2009, 08h22

C'est le serveur qui a dû avoir un raté. C'est un problème commun, au début de l'installation d'un serveur, d'avoir les php qui se téléchargent au lieu de s'exécuter.

Je connais deux explications possibles à cela :
- un module (qui doit s'appeler a2enmod si ma mémoire est bonne) qui s'est temporairement désactivé ou n'a pas été réactivé de suite après un reboot du serveur
- un fichier php qui avait les mauvaises permissions (je suis pas certain de l'effet de la permission exec).

Enfin bref, personnellement, après des années de surveillance du fonctionnement d'un serveur d'un jeu en ligne, ça ne m'est jamais arrivé...

Enfin, sur certains serveurs, il est possible de mettre les mots de passe en dehors du répertoire www/ (je sais que zend adore faire ça), pour être sûr que quoiqu'il arrive, aucun utilisateur extérieur ne puisse jamais l'atteindre.

Bref, en conclusion, je ne pense pas qu'il y ait de raison de paniquer. Mais si tu continues à trembler pour la sécurité de ton site, tu peux isoler tes mots de passe là où personne ne pourra jamais y accéder

**Fladnag** · 19/01/2009, 10h23

Ca arrive si le module php meurt... quand le serveur est mal configuré ou que le site a subit une attaque DOS qui a réussi a faire tomber le process. A ce moment là le php est affiché comme de l'html et il n'est plus interprété.

Pour les fichiers php "sensibles" contenant mot de passe et autre, tu peux en effet les placer en dehors de l'arborescence, ou alors les placer dans un dossier spécial que tu protegeras avec un .htaccess contenant "deny from all".
Il sera alors impossible d'y acceder, meme si le serveur php tombe... car le .htaccess est géré par apache, donc tant que apache tourne, tes fichiers sont protégés, et si apache tombe, le site n'est plus accessible du tout ^^

FoxLeRenard · 19/01/2009, 11h39

Envoyé par LogistiX

Enfin, sur certains serveurs, il est possible de mettre les mots de passe en dehors du répertoire www/ (je sais que zend adore faire ça), pour être sûr que quoiqu'il arrive, aucun utilisateur extérieur ne puisse jamais l'atteindre.

Merci de ta réponse,

mais ce point la m'intéresse beaucoup !!
as tu des pistes

FoxLeRenard · 19/01/2009, 11h44

Envoyé par Fladnag

Ca arrive si le module php meurt... quand le serveur est mal configuré ou que le site a subit une attaque DOS qui a réussi a faire tomber le process. A ce moment là le php est affiché comme de l'html et il n'est plus interprété.

Pour les fichiers php "sensibles" contenant mot de passe et autre, tu peux en effet les placer en dehors de l'arborescence, ou alors les placer dans un dossier spécial que tu protegeras avec un .htaccess contenant "deny from all".
Il sera alors impossible d'y acceder, meme si le serveur php tombe... car le .htaccess est géré par apache, donc tant que apache tourne, tes fichiers sont protégés, et si apache tombe, le site n'est plus accessible du tout ^^

Mille mercis a toi aussi,

si tu penses que le HTACCESS marche, moi mon PHP est dans le site web dans un répertoire d' images ou j'aiss mis ça:
ça suffit ??

<Files "arty123456.php">
Order Allow,Deny
Deny from All
</Files>

**LogistiX** · 19/01/2009, 12h15

Je n'ai pas de pistes particulières, non. Mais pour te donner une idée, j'ai le module dav_svn activé dans apache, et mes svn sont à l'extérieur du répertoire www. Il m'a suffit de donner les droits du répertoire svn à www-data pour que seul lui et les utilisateurs de la machine puissent y accéder. Je suppose qu'on peut s'en inspirer pour planquer les mots de passe ^_^

**Fladnag** · 19/01/2009, 14h36

Envoyé par FoxLeRenard

Mille mercis a toi aussi,

si tu penses que le HTACCESS marche, moi mon PHP est dans le site web dans un répertoire d' images ou j'aiss mis ça:
ça suffit ??

Et bien, il te suffit d'essayer de charger l'url de ton fichier. Si tu as un "Permission denied" c'est que le .htaccess fonctionne. A partir de là ce que tu as vu ne pourra pas se produire sur ton site.

Enfin, personnellement, je pense que :
* Il vaut mieux un repertoire dédié
* Il vaut mieux éviter de mettre le nom du fichier en dur dans le .htaccess (si c'est un repertoire d'image, tu peux mettre *.php a la place)
* En général il est conseillé de faire "Deny, Allow" plutot que "Allow, Deny", mais bon, comme tu n'a qu'une regle "Deny" c'est pas bien grave ;o)

Tu peux également mettre quasiement toutes tes pages php dans un repertoire protégé. Par exemple :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
== index.php ==
<?php
$listePages=('forum'=>'forum.php', 'liens'=>'liens.php', 'contact'=>'contact.php');
$menu=array();
foreach($listePages as $k=>$v) {
  $menu[]='<a href="?page='.$k.'">'.$k.'</a>';
}
echo implode('&nbsp;', $menu).'<br>';
if (isset($listePages[$_GET['page']])) {
  include('pages/'.$listePages[$_GET['page']]);
}
?>
== pages/.htaccess ==
deny from all
== pages/forum.php ==
<?php echo "mon forum"; ?>
== pages/liens.php ==
<a href="?page=forum">lien vers forum</a>
== pages/contact.php ==
nospam@nospam.org

FoxLeRenard · 22/01/2009, 09h17

Merci a vous de vos réponses !!

Tout ça me rassures, reste a protéger en appliquant vos conseils

PHP non sécurisés ça existe ?

Langage PHP

Discussions similaires

Partager

Partager