Bonjour, vous attendez de la communauté un support le plus précis et le plus rapide qu'il soit !
ATTENTION !! ceci est l'ancien forum fermé le mardi 16 mars 2010 à 15 heures!
Le nouveau forum de support phpBB3 est visible à cette adresse, mettez à jour vos favoris !
Sachez toutefois que ce forum restera consultable durant une longue période, malgré le fait que tout le contenu ait été restauré dans le nouveau forum.
Inscrit le: May 16, 2005 Messages: 258 4061 points
Lieu de résidence
Sujet du message: code anti include: j'ai des doutes Posté le: Ven 09 Jan, 2009 1:20 am
Pour s'assurer qu'un fichier s'exécute directement, et n'est pas inclus, maximus utilise depuis des temps "immémoriaux" :
Code:
if (!stristr(htmlentities($_SERVER['SCRIPT_NAME']), 'plan.html')) {
Header("Location: index.html");
die();
}
jusqu'à présent il ne m'avait pas chagriné. Maintenant, il me chagrine car il ne me paraît pas sûr du tout, en dehors du fait que je n'ai pas réfléchi si ce test était utile ou non.
Ce que je sais c'est que si un script venait à inclure plan.html, ou un autre comme modules.php, ou un autre, c'est que j'ai réussi à déposer un exploit sur un répertoire du site: autant vous dire que je ne vais jamais faire la bêtise d'inclure un fichier qui va inclure mainfile.php. J'incluerai un seul fichier: config.php qui va me mener au kernel/config.php sans que je me fatigue à trouver son nom. Tout le reste ne m'intéresse absolument pas.
mais supposons qu'il me vienne l'envie très stupide d'inclure modules.php ou plan.html ect ect
à l'évidence mon code sera:
hors à moins d'être sur un serveur dédié où vous maîtrisez la configuration, autant vous dire que vous ne pouvez pas empêcher de manipuler $_SERVER['SCRIPT_NAME'];
getenv('SCRIPT_NAME'] ce n'est pas mieux:
j'ai 3 hébergeurs, sur aucun je ne peux mettre putenv dans disable_functions, pourtant sur 2 j'ai un php.ini perso, ni configurer safe_mode_protected_env_vars
Quand je rouspète, on me répond: c'est comme çà, il vous reste la solution du serveur dédié.
je suis un peu réservé sur l'approximatif stristr(htmlentities($_SERVER['SCRIPT_NAME']), 'plan.html'))
pour moi le nom du fichier ne doit pas après correction éventuelle par htlmentities() une chaine que l'on retrouve dans la chaine testée, mais exactement le nom du fichier; avec htmlentities() je pourrais traffiquer le nom du script pour que soumis à à la fonction elle n'en garde que plan.html. Mais faudrait que je sois d'une rare idiotie pour faire ça, alors que $_SERVER['SCRIPT_NAME'] = "plan.html"; avant l'include suffit à mon bonnheur.
je préfère donc ça:
Code:
if (basename(__FILE__) !== 'plan.html') {
Header("Location: index.html");
die();
}
qu'en pensez-vous? Je ne crois pas qu'on puisse encore manipuler les constantes apache: de toute façon, ce serait autrement plus compliqué à faire que $_SERVER['SCRIPT_NAME'] = "plan.html";
--------------------------------- Mini Fiche de zorteil Url de mon site web: www.grainedecarton.com Version utilisée: Maximus BS URL Rewriting non utilisée Wysiwyg installé Hébergeur: www.nuxit.com Apache version: compilé CGI PHP Version: 4.3 Espace Perso: site construit pour ma fille: un atelier familial de la haute vallée ardéchoise produisant des meubles et objets d'art en carton. -*-*-*-*-*-*-*-*-*-*- Générez votre rapport de référencement surwww.pagerank.hebeh.net
Inscrit le: May 16, 2005 Messages: 258 4061 points
Lieu de résidence
Sujet du message: Re: code anti include: j'ai des doutes Posté le: Ven 09 Jan, 2009 1:47 am
Post Scriptum: si la motivation de ce code au début de ces scripts est de s'assurer qu'ils ne sont pas inclus, il faut de plus s'assurer que c'est le bon répertoire, donc que
Code:
dirname(__FILE__) === INCLUDE_PATH
Mais si ce code qui vérifie le nom du script ne sert pas à empêcher l'inclusion, langue au chat: merci de me dire quel est son but?
comme dirait Cyril, je suis curieux.
--------------------------------- Mini Fiche de zorteil Url de mon site web: www.grainedecarton.com Version utilisée: Maximus BS URL Rewriting non utilisée Wysiwyg installé Hébergeur: www.nuxit.com Apache version: compilé CGI PHP Version: 4.3 Espace Perso: site construit pour ma fille: un atelier familial de la haute vallée ardéchoise produisant des meubles et objets d'art en carton. -*-*-*-*-*-*-*-*-*-*- Générez votre rapport de référencement surwww.pagerank.hebeh.net
Inscrit le: Jun 18, 2005 Messages: 1929 19042 points
Lieu de résidence
Sujet du message: Re: code anti include: j'ai des doutes Posté le: Ven 09 Jan, 2009 6:10 am
Vraiment là tu me mets sur le cul. J'ai pas compris un moindre mot de ce que tu as écrit mais je post juste ce message pour manifester mon admiration devant tant de savoir car je trouve ça fort !
_________________ GymaWeb, la passion de la gym sur le 1er portail de communication de la gymnastique artistique et rythmique.
--------------------------------- Mini Fiche de Toumilovitch Url de mon site web: www.gymaweb.com Version utilisée: Maximus 2009 URL Rewriting utilisée Aucun Wysiwyg installé Hébergeur: www.ovh.com Espace Perso: Serveur presque dédié -*-*-*-*-*-*-*-*-*-*- Générez votre rapport de référencement surwww.pagerank.hebeh.net
Sujet du message: Re: code anti include: j'ai des doutes Posté le: Ven 09 Jan, 2009 11:57 am
vi bon exemple zorteil
c'est en peaufinant que l'on peaufine
en fait si ton hébergeur t'attribue bien tes fichiers et qu'ils sont soient chrootés soit à ton ID et Groupe alors ton contrôle supplémentaire ne sert à rien puisque tu ne pourra en aucun cas inclure un autre fichier que ceux qui t'appartiennent ( là encore la sécurité vient très souvent de la config du serveur )
quant à ton probleme
Citation:
Quand je rouspète, on me répond: c'est comme çà, il vous reste la solution du serveur dédié.
ben ... c'est tout simplement que tu n'as pas trouvé ton idéal, d'autres le font sans soucis
Vous ne pouvez pas poster de nouveaux sujets dans ce forum Vous ne pouvez pas répondre aux sujets dans ce forum Vous ne pouvez pas éditer vos messages dans ce forum Vous ne pouvez pas supprimer vos messages dans ce forum Vous ne pouvez pas voter dans les sondages de ce forum Vous ne pouvez pas joindre des fichiers Vous ne pouvez pas télécharger des fichiers
Accueil
Les 10 derniers messages
Module forum, connexion en administrateur
4061 points
