Discussion :

[Inazo]

Bonjour,

Pour mon premier post, d'abord je suis heureux d'être parmi vous. Revenons donc au sujet, j'ai rechercher pas mal sur internet pour bloquer l'accès aux fichier .php sauf mon Index et autres page autorisé.

Cependant j'ai bloqué beaucoup trop, car toute mes pages dont j'ai besoin en ajax ce trouve bloqué car seul PHP peut accéder à ces pages. Et étant donné que c'est un processus non serveur qui demande la page, XML-HTTP-REQUEST, je voudrais savoir si il est possible de savoir que c'est une action Ajax qui est à l'origine de la page et que cette action provienne bien de mon serveur.

Voici ce que j'ai mis pour bloquer l'accès au pages PHP. Dans ce cas PHP peux faire tout les includes qu'il désire, mais tout accès direct est impossible.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
<Files *.php>
Order deny,allow
Deny from all 
</Files>
 
<Files index.php>
Order deny,allow
Allow from localhost
Deny from all 
</Files>

Merci à toutes personnes qui liront ceci et/ou qui répondront.

Cordialement Inazo.

[robichou]

Les requètes ajax des navigateurs sont peut-être reconnaissables à la gueule du header (essaye l'extension LiveHTTP (je crois) pour Firefox pour tenter le coup, Ethereal (récupération des paquets) ensuite si çà semble possible).

Cependant, rien ne peut garantir qu'une requète n'a pas été écrite à la main, que les données ne seront pas récupérées comme bon lui semble par l'utilisateur. Bref, impossible de se servir d'une telle astuce pour faire de la sécurité. [Ceci n'est que mon avis, je suis pas un pro d'Apache]

[robichou]

je voudrais savoir si il est possible de savoir que c'est une action Ajax qui est à l'origine de la page et que cette action provienne bien de mon serveur.

T'es pas très clair, ta phrase veut pas dire grand chose. Tu peux toujours créer une page php accessible depuis l'extérieur qui s'occupera d'inclure les fichiers, eux non accessibles, qui doivent répondre à ta requête ajax, mais je vois pas trop l'intérêt si la page sert qu'à çà.

[Inazo]

Merci de la réponse,

Après avoir réfléchi et recherché il est en effet impossible de savoir que c'est une action Ajax qui est à l'origine de l'appel de la page, et non pas un appel direct.

Désolé de pas avoir été très clair dans ma phrase.

Cordialement Inazo.