Hebeh.com, hebergement professionnel de sites internet www.hebeh.com

epsylon · **Sujet du message:** *Posté le: Jeu 21 Sep, 2006 9:06 pm*

vi bien sur pour le fichier aucun soucis

tu as regarder sur

Lien externe:

Les liens externes ne sont consultables que par nos utilisateurs enregistrés, vous pouvez dès à présent créer un compte gratuitement

ce qu'ils en pensaient?

zorteil · **Sujet du message:** *Posté le: Jeu 21 Sep, 2006 10:17 pm*

mon idée c'était lors du premier log sur le site (donc de la première exécution de index.php) de faire un bilan plus complet que Maximus BS de l'environnement dans lequel les fichiers s'exécutent
1) sur quel type de serveur?
2) avec quelle version de PHP
3) l'url_rewriting est-il possible?
4) les cookies sont-ils acceptés par la machine cliente?
5) les javascripts sont ils autorisés par le navigateur client?

plus accessoirement, quel navigateur, quelle résolution d'écran?

pour répondre à ta question sur apache.org oui j'ai regardé et d'ailleurs j'ai trouvé des info très intéressantes sur l'url rewrinting. pas dit qu'on ne puisse en tirer des chose intéressantes pour Maximus.

pour que l'url_rewriting fonctionnne il faut que le module mod_rewrite de la bibliothèque soit loadé et pour cela dans le httpd.conf s'assurer que l'instruction de load du module y est et est active.
après faut rewrite_engine on dans .htaccess parce que la config n'est pas héritable sauf si ... mais ça va devenir compliqué.
tu as plusieurs moyens pour savoir si l'url_rewriting est activé ou pas sur ton serveur:
1) tu demandes à l'hébergeur
2) tu exécutes un script de test qu'on trouve sur internet
3) tu yeutes le phpinfo() qui te donne la liste des modules chargés et tu regardes si mod_rewrite est dedans
4) tu lis le httpd.conf si tu y as accès
mais comme je ne veux rien de tout ça, il reste la fonction apache_get_modules() qui existe depuis PHP 4.3.2 et après tu regardes si dans the array renvoyée y a 'mod_rewrite'

pour info
apache_get_version() chez servage ça renvoie une info bidon et chez 1&1 un message d'erreur, fonction inconnue (pourtant ils ont php 4.4.4) Sinon le phpinfo() de 1&1 montre qu'ils ont apache 1.3 (je croyais que pour raison de sécurité, il fallait plus s'en servir Question

) servage, on ne peut pas savoir, l'info est masquée par un texte bidon.
apache_get_modules() chez servage ça renvoie le tableau des modules et chez 1&1 une erreur d'exécution.
il me reste à tester nuxit pour voir.

epsylon · **Sujet du message:** *Posté le: Jeu 21 Sep, 2006 10:29 pm*

pourtant servage a du php 5
sinon au retour de Cyril on pourra lui demandé

zorteil · **Sujet du message:** *Posté le: Sam 23 Sep, 2006 8:09 pm*

j'ai eu la réponse sur le forum de nuxit, et tu étais sur la bonne voie en me parlant du site apache.org: j'avais regardé "sans voir" que les fonctions apache (toutes) ne fonctionnent pas quand apache est compilé en mode CGI.
ya bien extenio_loaded comme son nom le laissait entendre ça ne donctionne que pour les extensions et ps les modules.
je me console en remarquant que du coup ça me permet d'illustrer par un exemple réel ce que j'ai écrit sur les ambiguités sur les ensembles qui peuvent être vides en PHP alors qu'ils contiennent quelque chose, ou alors quand on ne sait pas ce qu'ils contiennent.
d'où ce code:

epsylon · **Sujet du message:** *Posté le: Sam 23 Sep, 2006 8:20 pm*

arf ca m'etonne pas
apache depuis le debut est axe sur le perl et cgi-bin
j'en emploi pas mal Wink

zorteil · **Sujet du message:** *Posté le: Ven 29 Sep, 2006 9:41 am*

je ne connais ni perl ni cgi. mais je pense qu'on est dans le monde de l'open gl auquel les windowsiens reprochent le côté brouillon. mais ne rallumons pas la querelle Wink

voilà comment je vois apache et surtout PHP: tout et son contraire.
les variables importées c'est un gros pb de sécu donc on décide de mettre register_globals (R_G) à off, mais pour ne fâcher personne on crée import_request_variables qui annule le bénéfice de R_G à off.

il vaudrait mieux que l'on sache d'où vient une variable importée, mais comme ça en chagrine quelques uns on crée $_REQUEST etc... ect..
tu veux une corde pour te pendre? pas de pb: le team de PHP te la fournit.

après on s'étonne qu'il y ait tant de sites attaqués avec succès.

finalement, on trouve dans apache et PHP des outils super puissants, faussement redondants (hélas), dont il vaudrait mieux bien savoir se servir, parce que les crackeurs, eux ils savent.
un coup de marteau sur le doigt, on s'en remet, un coup de marteau pilon c'est autre chose.

au hasard, dans nukesentinel, ce qui est un comble, il y a une authentique faille include, placée avant le test sur la faille include +++, donc indétectable par nukesentinel, mais inexploitable par suite de 2 hasards tout à fait heureux:
1) se trouve dans une condition sur l'existence d'une constante qui n'a pas été définie (probablement mise là en vue d'un développement futur.) Donc le fichier, utile mais non indispensable à inclure n'est pas inclus: la variable qui l'inclue n'étant pas définie, il suffirait au crackeur de la définir par un get ... si la faille était exploitable: réussite obligatoire.
ça c'est strictement impossible avec register_globals à off mais j'ai vraiment l'impression de prêcher dans le désert.
2) pour une fois, et c'est rare dans maximus (1) l'include se fait avec if(file_exists)
hors il se trouve que file_exists ne sait pas prendre en compte une url, alors que include le sait.
ça c'est la doc PHP qui le dit, mais comme j'ai découvert que la doc PHP était parfois contredite par les résultats de mes tests (2), je vais un jour me décider à le vérifier.

(1) ce sont tous les include_once directs dans maximus qui au départ m'ont chagriné et incité à modifier par recours sytématique à if(file_exists()) pour pouvoir décider de ce que l'on fait si le fichier ne se trouve pas là où on croit qu'il est.
(2) justement à propos d'include je me suis aperçu que ce que je constatais dans mes tests contredisait ce qu'on trouve dans la doc PHP.
et puis il y a tout ce que la doc ne dit pas: à propos des variables globales, ça donne un peu le vertige et quand je parle de corde pour se pendre .....

epsylon · **Sujet du message:** *Posté le: Ven 29 Sep, 2006 9:49 am*

salut Zorteil

je finit de monte le serveur de test cette semaine et on va pouvoir commence a compiler les fichiers Smile

zorteil · **Sujet du message:** *Posté le: Ven 29 Sep, 2006 10:42 am*

bonne nouvelle
de mon côté je prends du retard;
un peu comme les jeux vidéo: 5 jours que je tourne en rond dans nukesentinel et que je ne trouve pas la sortie.
je crois que je vais finir "par enjamber" et j'y reviendrai plus tard.