je code un site web dont l'arborescence est, en gros, organisée par
fonctionnalités
il existe plusieurs types de droits dans l'application, ces droits renvoient
tous aux accès base de données,
c'est à dire qu'un utilisateur à droit minimal est définit pour chacun
d'eux.
Au lieu de déclarer mes droits dans chaque script, je les déclare en racine
du sous répertoire renvoyant à la fonction traitée avec un fichier perm.php
je désire rendre ce fichier inaccessible par une requête http, j'ai trouvé
la solution suivante, mais elle "m'inquiète" et recherche donc un conseil
dans chaque script, je déclare une variable $key = "..." commune aux scripts
de même droits
puis,
le .htaccess reste problématique si l'accès et son interdiction doivent être transparent
Stephane Catteau
Cedric Blancher nous disait récement dans fr.comp.securite <news: :
Dans sa prose, Stephane Catteau nous ecrivait :
3) http://blabla.tld/index.php?inc=fichier et include( $inc.'.php' ) 4) http://blabla.tld/index.php?inc=fichier et include( $inc.'.ext' )
Très très déconseillé comme méthode d'inclusion de fichiers. C'est un gros nid à failles ça.
Raison pour laquelle j'en parle, puisque le but est de savoir s'il est mieux de garder l'extention .php ou d'utiliser une autre extension dont l'accès est interdit par le biais d'un .htaccess. Pour comparer le plus efficacement possible, il faut exploiter les failles et non l'utilisation standard.
-- "Si ceux qui disent du mal de moi savaient exactement ce que je pense d'eux , ils en diraient bien davantage." Sacha Guitry
Cedric Blancher nous disait récement dans fr.comp.securite
<news:pan.2003.09.07.11.28.11.743901@cartel-securite.fr> :
Dans sa prose, Stephane Catteau nous ecrivait :
3) http://blabla.tld/index.php?inc=fichier et include( $inc.'.php' )
4) http://blabla.tld/index.php?inc=fichier et include( $inc.'.ext' )
Très très déconseillé comme méthode d'inclusion de fichiers. C'est un
gros nid à failles ça.
Raison pour laquelle j'en parle, puisque le but est de savoir s'il est
mieux de garder l'extention .php ou d'utiliser une autre extension dont
l'accès est interdit par le biais d'un .htaccess. Pour comparer le plus
efficacement possible, il faut exploiter les failles et non
l'utilisation standard.
--
"Si ceux qui disent du mal de moi savaient exactement ce que je
pense d'eux , ils en diraient bien davantage."
Sacha Guitry
Cedric Blancher nous disait récement dans fr.comp.securite <news: :
Dans sa prose, Stephane Catteau nous ecrivait :
3) http://blabla.tld/index.php?inc=fichier et include( $inc.'.php' ) 4) http://blabla.tld/index.php?inc=fichier et include( $inc.'.ext' )
Très très déconseillé comme méthode d'inclusion de fichiers. C'est un gros nid à failles ça.
Raison pour laquelle j'en parle, puisque le but est de savoir s'il est mieux de garder l'extention .php ou d'utiliser une autre extension dont l'accès est interdit par le biais d'un .htaccess. Pour comparer le plus efficacement possible, il faut exploiter les failles et non l'utilisation standard.
-- "Si ceux qui disent du mal de moi savaient exactement ce que je pense d'eux , ils en diraient bien davantage." Sacha Guitry
