Discussion :

[nicoweb371]

Bonjour à tous,

J'ai developpe une application sous intranet en Php/MySql.
J'ai constaté des choses qui m'inquiete si l'utilsateur saisie :

http://nom_applis/rep_toto/

Il a le contenu du rep "toto" qui s'affiche => Je ne veux pas ça !

Voyant son contenu il peut saisir :

http://nom_applis/rep_toto/toto.php

ça aussi, je ne souhaite pas qu'il puisse interroger des pages en direct !

Comment faire pour empecher tout ça ??

Enfin pour finir, j'aimerais que lorqu'il y a des erreurs de type 401 ou 403 ou 500, ça renvoit vers une seule et unique page d'erreur (erreur.php par exemple) avec des messages personnalisés. Je sais que c'est possible sous Apache mais je ne sais pas comment faire, avez-vous une idée ou bien un tuto à me conseiller ?

Merci de votre aide.

[peppena]

bonjour ,
pour ne pa spermettre de voire le contenue du repertoire il faut juste changer un signe - en + :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
<LocationMatch "^/+$">
    Options +Indexes
    ErrorDocument 403 /error/noindex.html
</LocationMatch>

Options +Indexes
ce bout tu peux soit le trouver dans httpd.conf soit sous conf.d/welcome.conf (ça dépend des version) il faut juste modifier le signe qui se trouve avant Indexes

sinon , pour personnaliser l'erreur et les rediriger vers une seule page , c tout à fait possible et c simple tu dois dans le httpd.conf indiquer le chemin de la pge que tu veux afficher :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
ErrorDocument 401 /erreur.php
ErrorDocument 403 /erreur.php
ErrorDocument 404 /erreur.php
ErrorDocument 500 /erreur.php

pour plus de détails regarde ce lien

[nicoweb371]

bonjour ,
pour ne pa spermettre de voire le contenue du repertoire il faut juste changer un signe - en + :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
<LocationMatch "^/+$">
    Options +Indexes
    ErrorDocument 403 /error/noindex.html
</LocationMatch>

=> C'est quoi ce code ??? tu peux expliquer stp ? Je ne l'ai pas trouvé dans mon httpd.conf.

Options +Indexes
ce bout tu peux soit le trouver dans httpd.conf soit sous conf.d/welcome.conf (ça dépend des version) il faut juste modifier le signe qui se trouve avant Indexes

sinon , pour personnaliser l'erreur et les rediriger vers une seule page , c tout à fait possible et c simple tu dois dans le httpd.conf indiquer le chemin de la pge que tu veux afficher :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
ErrorDocument 401 /erreur.php
ErrorDocument 403 /erreur.php
ErrorDocument 404 /erreur.php
ErrorDocument 500 /erreur.php

pour plus de détails regarde ce lien

Merci pour le lien

[nicoweb371]

C'est encore moi,

Bon le fait de mettre le '-' fonctionne, ça ne liste plus le repertoire.
Mais, si l'utilisateur connait la page, il peut toujours taper en direct :
http://nom_appli/rep_toto/toto.php
et là, il tombe sur la page.
Y'a t'il un moyen d'eviter cela ???

Sinon pour la redirection, ça ne fonctionne pas, j'ai ce message d'erreur :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
Forbidden
You don't have permission to access /mediadoc/portail_gestionnaire/affichage/ on this server.
 
Additionally, a 404 Not Found error was encountered while trying to use an ErrorDocument to handle the request.

J'ai pourtant mis les ErrorDocument comme tu m'avais indiqué.

Merci de ton aide.

[peppena]

Mais, si l'utilisateur connait la page, il peut toujours taper en direct :
http://nom_appli/rep_toto/toto.php
et là, il tombe sur la page.
Y'a t'il un moyen d'eviter cela ???

si tu veux tu peux proteger l'acces au repertoire par des mot de passes voire .htaccess

Sinon pour la redirection, ça ne fonctionne pas, j'ai ce message d'erreur :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
Forbidden
You don't have permission to access /mediadoc/portail_gestionnaire/affichage/ on this server.

bon l'erreur est bien expliqué , vérifie les droit d'acces au chemin que tu as indiqué