Bonjour et excusez ce HS mais je ne sais pas trop où poser la question
et même la formuler correctement.
J'ai un serveur web apache (sous Debian..) sur lequel je vais déposer quelques
pages en PHP. Les pages seront donc servies en HTML, rien de plus
normal. Ce matin je me posais quelques questions concernant la sécurité
de mon "site" et je me demandais s'il était possible d'interdire de
télécharger les sources PHP (avec wget par exemple). Il me semble que
non mais j'ai un doute. Comme je vois les choses, ce sont de simples
fichiers qui ont une URI et donc wget doit pouvoir les télécharger (ce
qui peut poser problèmes si les pages ne sont pas blindées au niveau
sécurité).
Pouvez-vous me confirmer/infirmer cela ?
Merci d'avance,
Steve
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
> Auguste a écrit : > [snip] > wget récupérera le code généré par la page PHP (comme le navigateur), il > n'a pas accès > au source PHP. > Heureusement d'ailleurs !, sinon j'imagine la panique avec des fichiers > PHP qui contiennent parfois > des mots de passe en clair (connexion SGBD, LDAP etc...). >
Et à ce propos, lors des (mises à jour|installation|désinstallation) des paquets, il faut faire attention. Si pendant un moment, php est désactivé, ça la fout mal. idem si on fat joujou avec la config apache.
Mais si Apache est désactivé pendant une maj ou autre, une adresse http://serveur/page ne sera plus accessible non ? Et par conséquent, wget ne pourra pas télécharger les sources, ou me trompe-je ?
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
> Auguste a écrit :
> [snip]
> wget récupérera le code généré par la page PHP (comme le navigateur), il
> n'a pas accès
> au source PHP.
> Heureusement d'ailleurs !, sinon j'imagine la panique avec des fichiers
> PHP qui contiennent parfois
> des mots de passe en clair (connexion SGBD, LDAP etc...).
>
Et à ce propos, lors des (mises à jour|installation|désinstallation) des
paquets, il faut faire attention. Si pendant un moment, php est
désactivé, ça la fout mal. idem si on fat joujou avec la config apache.
Mais si Apache est désactivé pendant une maj ou autre, une adresse
http://serveur/page ne sera plus accessible non ? Et par conséquent,
wget ne pourra pas télécharger les sources, ou me trompe-je ?
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
> Auguste a écrit : > [snip] > wget récupérera le code généré par la page PHP (comme le navigateur), il > n'a pas accès > au source PHP. > Heureusement d'ailleurs !, sinon j'imagine la panique avec des fichiers > PHP qui contiennent parfois > des mots de passe en clair (connexion SGBD, LDAP etc...). >
Et à ce propos, lors des (mises à jour|installation|désinstallation) des paquets, il faut faire attention. Si pendant un moment, php est désactivé, ça la fout mal. idem si on fat joujou avec la config apache.
Mais si Apache est désactivé pendant une maj ou autre, une adresse http://serveur/page ne sera plus accessible non ? Et par conséquent, wget ne pourra pas télécharger les sources, ou me trompe-je ?
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
François Boisson
Le Wed, 25 Feb 2009 23:44:23 +0100 mouss a écrit:
Et à ce propos, lors des (mises à jour|installation|désinstallation) des paquets, il faut faire attention. Si pendant un moment, php est désactivé, ça la fout mal. idem si on fat joujou avec la config apache.
Parfois, pour récupérer les sources .php, il suffit de rajouter un ~ à la fin du nom. Il y a toujours des modifications rapides qui sont faites directement sur les pages du site et le webmaster négligent oublie de virer les fichiers de backup. L'extension .php~ n'étant pas associé à php, cela donne le source en clair.
François Boisson
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Le Wed, 25 Feb 2009 23:44:23 +0100
mouss <mouss@ml.netoyen.net> a écrit:
Et à ce propos, lors des (mises à jour|installation|désinstallation) des
paquets, il faut faire attention. Si pendant un moment, php est
désactivé, ça la fout mal. idem si on fat joujou avec la config apache.
Parfois, pour récupérer les sources .php, il suffit de rajouter un ~ à la fin
du nom. Il y a toujours des modifications rapides qui sont faites directement
sur les pages du site et le webmaster négligent oublie de virer les fichiers
de backup. L'extension .php~ n'étant pas associé à php, cela donne le source
en clair.
François Boisson
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Et à ce propos, lors des (mises à jour|installation|désinstallation) des paquets, il faut faire attention. Si pendant un moment, php est désactivé, ça la fout mal. idem si on fat joujou avec la config apache.
Parfois, pour récupérer les sources .php, il suffit de rajouter un ~ à la fin du nom. Il y a toujours des modifications rapides qui sont faites directement sur les pages du site et le webmaster négligent oublie de virer les fichiers de backup. L'extension .php~ n'étant pas associé à php, cela donne le source en clair.
François Boisson
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
steve
> Le Wed, 25 Feb 2009 23:44:23 +0100 mouss a écrit:
> Et à ce propos, lors des (mises à jour|installation|désinstallation) des > paquets, il faut faire attention. Si pendant un moment, php est > désactivé, ça la fout mal. idem si on fat joujou avec la config apache.
Parfois, pour récupérer les sources .php, il suffit de rajouter un ~ à la fin du nom. Il y a toujours des modifications rapides qui sont faites directement sur les pages du site et le webmaster négligent oublie de virer les fichiers de backup. L'extension .php~ n'étant pas associé à php, cela donne le source en clair.
Petit malin va ! Je n'oublierai pas un 'rm *.php~' avant de mettre mes pages dans le DocumentRoot.
Merci je n'y avais pas pensé.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
> Le Wed, 25 Feb 2009 23:44:23 +0100
mouss <mouss@ml.netoyen.net> a écrit:
> Et à ce propos, lors des (mises à jour|installation|désinstallation) des
> paquets, il faut faire attention. Si pendant un moment, php est
> désactivé, ça la fout mal. idem si on fat joujou avec la config apache.
Parfois, pour récupérer les sources .php, il suffit de rajouter un ~ à la fin
du nom. Il y a toujours des modifications rapides qui sont faites directement
sur les pages du site et le webmaster négligent oublie de virer les fichiers
de backup. L'extension .php~ n'étant pas associé à php, cela donne le source
en clair.
Petit malin va ! Je n'oublierai pas un 'rm *.php~' avant de mettre mes
pages dans le DocumentRoot.
Merci je n'y avais pas pensé.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
> Le Wed, 25 Feb 2009 23:44:23 +0100 mouss a écrit:
> Et à ce propos, lors des (mises à jour|installation|désinstallation) des > paquets, il faut faire attention. Si pendant un moment, php est > désactivé, ça la fout mal. idem si on fat joujou avec la config apache.
Parfois, pour récupérer les sources .php, il suffit de rajouter un ~ à la fin du nom. Il y a toujours des modifications rapides qui sont faites directement sur les pages du site et le webmaster négligent oublie de virer les fichiers de backup. L'extension .php~ n'étant pas associé à php, cela donne le source en clair.
Petit malin va ! Je n'oublierai pas un 'rm *.php~' avant de mettre mes pages dans le DocumentRoot.
Merci je n'y avais pas pensé.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
David Hautbois
Salut apache fournira le code php si le module php saute. Un pirate peut alors l'étudier et exploiter les failles si le code n'est pas sécurisé (échapper les requêtes SQL pour éviter les attaques par injection de code).
Il faut bien penser à isoler les données sensibles (paramètres de connexion à une base de données par exemple) dans un fichier php séparé et placé dans un répertoire dédié protégé par le fichier .htaccess. Ainsi ce fichier sera inaccessible par le client.
David.
steve wrote:
Bonjour et excusez ce HS mais je ne sais pas trop où poser la question et même la formuler correctement.
J'ai un serveur web apache (sous Debian..) sur lequel je vais déposer quelques pages en PHP. Les pages seront donc servies en HTML, rien de plus normal. Ce matin je me posais quelques questions concernant la sécurité de mon "site" et je me demandais s'il était possible d'interdire de télécharger les sources PHP (avec wget par exemple). Il me semble que non mais j'ai un doute. Comme je vois les choses, ce sont de simples fichiers qui ont une URI et donc wget doit pouvoir les télécharger (ce qui peut poser problèmes si les pages ne sont pas blindées au niveau sécurité).
Pouvez-vous me confirmer/infirmer cela ?
Merci d'avance, Steve
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
Salut
apache fournira le code php si le module php saute.
Un pirate peut alors l'étudier et exploiter les failles si le code n'est
pas sécurisé (échapper les requêtes SQL pour éviter les attaques par
injection de code).
Il faut bien penser à isoler les données sensibles (paramètres de
connexion à une base de données par exemple) dans un fichier php séparé
et placé dans un répertoire dédié protégé par le fichier .htaccess.
Ainsi ce fichier sera inaccessible par le client.
David.
steve wrote:
Bonjour et excusez ce HS mais je ne sais pas trop où poser la question
et même la formuler correctement.
J'ai un serveur web apache (sous Debian..) sur lequel je vais déposer quelques
pages en PHP. Les pages seront donc servies en HTML, rien de plus
normal. Ce matin je me posais quelques questions concernant la sécurité
de mon "site" et je me demandais s'il était possible d'interdire de
télécharger les sources PHP (avec wget par exemple). Il me semble que
non mais j'ai un doute. Comme je vois les choses, ce sont de simples
fichiers qui ont une URI et donc wget doit pouvoir les télécharger (ce
qui peut poser problèmes si les pages ne sont pas blindées au niveau
sécurité).
Pouvez-vous me confirmer/infirmer cela ?
Merci d'avance,
Steve
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Salut apache fournira le code php si le module php saute. Un pirate peut alors l'étudier et exploiter les failles si le code n'est pas sécurisé (échapper les requêtes SQL pour éviter les attaques par injection de code).
Il faut bien penser à isoler les données sensibles (paramètres de connexion à une base de données par exemple) dans un fichier php séparé et placé dans un répertoire dédié protégé par le fichier .htaccess. Ainsi ce fichier sera inaccessible par le client.
David.
steve wrote:
Bonjour et excusez ce HS mais je ne sais pas trop où poser la question et même la formuler correctement.
J'ai un serveur web apache (sous Debian..) sur lequel je vais déposer quelques pages en PHP. Les pages seront donc servies en HTML, rien de plus normal. Ce matin je me posais quelques questions concernant la sécurité de mon "site" et je me demandais s'il était possible d'interdire de télécharger les sources PHP (avec wget par exemple). Il me semble que non mais j'ai un doute. Comme je vois les choses, ce sont de simples fichiers qui ont une URI et donc wget doit pouvoir les télécharger (ce qui peut poser problèmes si les pages ne sont pas blindées au niveau sécurité).
Pouvez-vous me confirmer/infirmer cela ?
Merci d'avance, Steve
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"
To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to with a subject of "unsubscribe". Trouble? Contact