Discussion :

[xni70]

Bonjour,
J'aimerais protéger un ensemble de fichiers "php" pour qu'ils ne soient pas accessibles. J'aimerai savoir ou avoir confirmation sur les points suivants:
1. Tous scripts PHP peut être aspiré par un aspirateur de site a moins d'utiliser un fichier htaccess (cf post sur ce forum?)
2. Si je place ses scripts PHP sensibles avant la racine du site (avant le dossier "www"), ceux ci ne pourront pas être téléchargé ou aspiré?
Merci pour toute confirmation ou complément d'information..
Xavier

[_Mac_]

1. Tous scripts PHP peut être aspiré par un aspirateur de site a moins d'utiliser un fichier htaccess (cf post sur ce forum?)

Faux pour au moins une bonne raison : on ne peut aspirer un fichier que s'il est pointé par un lien/une URL présent sur une page aspirée. Si j'ai un script /bidule/toto.php et que je suis le seul à connaître ce script/cette URL, i.e. qu'aucune page aspirée ou aspirable au monde ne pointe sur cette URL, y a pas de pb, ce script ne sera jamais aspiré.

Après,ce qui est aspiré, c'est pas le source du fichier mais le résultat de son exécution par le serveur Web. Donc si tu as un script qui attend à ce qu'une session existe, etc. et que le script est aspiré tel quel, il se peux que ce qui soit aspiré c'est un message d'erreur du style "erreur : pas de session".

2. Si je place ses scripts PHP sensibles avant la racine du site (avant le dossier "www"), ceux ci ne pourront pas être téléchargé ou aspiré?

Pour le coup, c'est certain mais personne modulo une config spéciale ne pourra y accéder par HTTP. Il faut distinguer 2 types de fichiers PHP à protéger :
1. Les fichiers qu'on veut pouvoir accéder en HTTP avec un navigateur mais qui doivent être réservés à une certaine population. Pour ça, plusieurs solutions de sécurisation par login/mot de passe existent. Ces fichiers doivent impérativement se trouver dans le document root du serveur ou "aliassés".
2. Les fichiers .php qui ne sont utilisés qu'en include (par exemple des fichiers de configuration contenant des mots de passe). Ces fichiers peuvent être mis n'importe où tant qu'ils sont accessibles par PHP et l'utilisateur système qui exécute PHP. Généralement, ce que je fais pour protéger ces fichiers (car ça marche chez tous ou pratiquement tous les hébergeurs) c'est les mettre dans un répertoire que je verrouille en accès HTTP en mettant un .htaccess contenant simplement un deny from all. Comme ça, seuls les includes/requires, etc. marchent pour ces scripts.

[xni70]

1. Je n'avais pas compris que le fichier PHP lui meme n'était pas aspiré mais seulement son interprétation
2. par rapport a la racine, c'est ce qu'il me faut faire aussi puisqu'il s'agissait d'une mini bibliotheque de fonction et de quelques mots de passe..

Merci pour ces réponses "éclairantes"...
Xavier