Accès Premium
GNT sans publicité, site mobile, fonctionnalitées exclusives...
Rejoignez-nous !
Forums Développement Langage PHP

Probleme de securite Include

Le
JeanJean
Bonjour,
Je voudrai éviter sur mon serveur mutualisé (apache + php4 + mysql) que mes
clients puisse faire des scripts http://www.toto.com/index.php?include=

afin d'eviter la fameuse faille d'include Y a t'il quelque chose a faire
au niveau du php.ini ou du httpd.conf?
Pour info je suis en safe mode = off

Merci pour toutes vos suggestions

A+

SugarKane
Lire les 6 réponses

Questions / Réponses high-tech
Poser une question
Vidéos High-Tech et Jeu Vidéo
Plus de vidéos
Téléchargements
Plus de téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Cleo
Le #675143
Bonsoir,

Y a plein d'infos sur:
http://www.zataz.com/documentation-...argan.html

A+
Répondre en citant
CrazyCat
Le #674871
JeanJean wrote:
Bonjour,
Je voudrai éviter sur mon serveur mutualisé (apache + php4 + mysql) que mes
clients puisse faire des scripts http://www.toto.com/index.php?include=...
afin d'eviter la fameuse faille d'include... Y a t'il quelque chose a faire
au niveau du php.ini ou du httpd.conf?


A priori, non.
Tu devrais soit empécher le traitement des variables GET soit empécher
l'utilisation des includes.
Par contre, tu dois pouvoir bloquer l'appel des scripts externes.


--
Tout sur les eggdrops
http://www.c-p-f.org
ML @

Répondre en citant
Michel BONZI
Le #674865

Bonjour,
Je voudrai éviter sur mon serveur mutualisé (apache + php4 + mysql) que mes
clients puisse faire des scripts http://www.toto.com/index.php?include=...

afin d'eviter la fameuse faille d'include... Y a t'il quelque chose a faire
au niveau du php.ini ou du httpd.conf?
Pour info je suis en safe mode = off

Merci pour toutes vos suggestions

A+

SugarKane
Bonjour,

As-tu mis cette chose dans ton code :
include $include;
ou
include $_GET[include];
?
Il vaudrais mieux faire :
if($_GET[include]=='toto')
{
include 'toto.php';
}
elseif($_GET[include]=='tutu')
{
include 'tutu.php';
}etc...
tu eviteras la faille !
Michel BONZI
michel-bonzi at diagram point fr

Répondre en citant
Olivier Miakinen
Le #674863

Je voudrai éviter sur mon serveur mutualisé (apache + php4 + mysql) que mes
clients puisse faire des scripts http://www.toto.com/index.php?include=...

afin d'eviter la fameuse faille d'include... Y a t'il quelque chose a faire
au niveau du php.ini ou du httpd.conf?


Il me semble que tu dois surtout protéger ton serveur, donc vérifier
que tes clients n'ont pas accès à /etc/passwd ou aux comptes des autres
clients, qu'ils ne peuvent pas devenir root, qu'ils ne peuvent pas
passer un appel système mettant la machine en péril, etc.

Après, pour protéger les clients d'eux-mêmes, tu peux les informer des
failles qu'ils pourraient inclure dans leurs scripts, mais tu ne peux
guère faire plus, à mon avis. Toute tentative pour les protéger contre
leur gré ne pourra que générer des frustrations.

Répondre en citant
Lol Zimmerli
Le #677797
Hello,

"JeanJean"
Je voudrai éviter sur mon serveur mutualisé (apache + php4 + mysql)
que mes clients puisse faire des scripts
http://www.toto.com/index.php?include=...


open_basedir est ton ami
http://fr.php.net/manual/fr/feature...en-basedir

--
Lol Zimmerli - http://www.lzi.ch/lol/
Les miroirs feraient bien de réfléchir avant de renvoyer les images.
Jean Cocteau

Répondre en citant
Publicité
Suivre les réponses
Poster une réponse
Anonyme