On ne le répètera jamais assez, en PHP les fichiers inclus ne devraient
pas porter l'extension simple ".inc" car si l'on devine leur existence,
n'importe quel navigateur affichera directement leur contenu !
La preuve en direct (avant qu'ils ne modifient) :
http://sites.radiofrance.fr/franceinter/_c/php/emission/archives.inc
A la place, si l'on veut conserver l'indication d'inclusion, il est
conseillé et habituel d'utiliser l'extension double ".inc.php".
Évidemment, même chose pour les classes, avec ".class.php".
Une autre solution consiste à configurer le serveur pour qu'il passe ces
extensions simples au préprocesseur, mais ça me parait plus risqué,
surtout en cas de reconfiguration. Et puis comment lui indiquer le choix
du traitement si plusieurs langages sont utilisés ?
Le hic, c'est que souvent, il est possible de visiter le contenu du site d'un autre client du même hébergeur, donc de voir le contenu de ces dossiers privés, ceci parce qu'un fichier PHP doit être visible par le serveur PHP et donc ne peut pas être protégé.
En même temps, en hébergement mutualisé, il n'est pas possible de parler de sécurité. On parlait d'accès aux données sensibles via le serveur Web depuis l'extérieur, pas depuis l'intérieur ;)
On 07/18/11 18:33, Denis Beauregard wrote:
Le hic, c'est que souvent, il est possible de visiter le contenu du
site d'un autre client du même hébergeur, donc de voir le contenu de
ces dossiers privés, ceci parce qu'un fichier PHP doit être visible
par le serveur PHP et donc ne peut pas être protégé.
En même temps, en hébergement mutualisé, il n'est pas possible de
parler de sécurité. On parlait d'accès aux données sensibles via le
serveur Web depuis l'extérieur, pas depuis l'intérieur ;)
Le hic, c'est que souvent, il est possible de visiter le contenu du site d'un autre client du même hébergeur, donc de voir le contenu de ces dossiers privés, ceci parce qu'un fichier PHP doit être visible par le serveur PHP et donc ne peut pas être protégé.
En même temps, en hébergement mutualisé, il n'est pas possible de parler de sécurité. On parlait d'accès aux données sensibles via le serveur Web depuis l'extérieur, pas depuis l'intérieur ;)
