Discussion :

[tierra]

Bonjour,

une petite question de newbie : Imaginez un site web contenant entre autres des fichiers php. Y a-t-il un moyen, entant qu'utilisateur lambda de ce site, de connaître le contenu d'un des fichiers php (si on tape son adresse dans la barre d'adresse, ce fichier ne fait que s'executer sur le serveur et on n'obtient que le résultat de cette execution).

En fait, je pose cette question pour savoir si en mettant un mot de passe en clair dans un fichier php sur mon site web, il n'y a pas de risque que quelqun puisse le récupérer.

Merci !

[12monkeys]

Bonjour

Un début de réponse dans la FAQ.

[Celira]

Bonjour et bienvenue sur le forum

Le PHP est un langage interprété côté serveur. Donc ce que voit un client, c'est-à-dire l'utilisateur de ton site, c'est le code interprété html.
A moins que ton utilisateur n'est accès à tes fichiers sources php, autrement dit qu'il puisse aller fouiller dans ton serveur, tu n'as pas grand-chose à craindre. Et si tu veux être sûr tu peux utiliser le lien de 12monkeys

[tierra]

Merci pour vos réponses.

Je vais donc opter pour la protection des fichiers php sensibles par htaccess (dans un dossier spécifique), puis appeler ces fichiers par inclusion dans les scripts principaux. Comme ça, l'utilisateur n'aura pas du tout accès aux fichiers sensibles, et n'aura pas besoin de saisir le login et le mot de passe htaccess pour leur exécution.

index.php :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
...
<?php
   include('protege/mdp.php');
?>
...

Où 'protege' est le dossier protégé par htaccess, et 'mdp.php' un fichier php contenant par exemple des mots de passe en clair, entre autres.


C'est une bonne méthode ?

[riete]

Je ne comprends pas bien ton problème. Je crois qu'il faut tout d'abord savoir si le serveur HTTP est sur un réseau local ou ouvert sur Internet ou les deux.

Ensuite tu peux définir ta politique de sécu au niveau de l'OS et non au niveau HTTP/php. Il ne faut pas tou mélanger.

htaccess n'a rien à voir la dedans, enfin il me semble. A moins que la racine (ou un des répertoires) de ton serveur HTTP soit en partage ?

Décris nous un peu plus ton architecture et je pourrais peut être te renseigner.

[tierra]

Je fait simplement un site perso sur free.fr.

Maintenant je ne connais rien à leur politique de sécurité.

[riete]

Je fait simplement un site perso sur free.fr.

Maintenant je ne connais rien à leur politique de sécurité.

Ahh, je comprends mieux ta question maintenant. Je m'étais posé la même question par le passé.

Sans trop m'engager, je peux te dire que tu ne craint pas grand chose (voir rien). De plus même si une attaque de ton site reste toujours possible,
sans vouloir te vexer, je ne pense pas que tu héberge des données ultra confidentielle de la défense nationnal ? a moins que je me trompe

Plus sérieusement, je pense que le risque le plus grand est du coté de ton serveur ftp (celui que tu utilise pour transférer tes données sur ton site). Mais même là, les risques sont mineurs.

Donc dors sur tes 2 oreilles ce n'est pas demain que tu vas te faire cassé ta page perso

A+

[tierra]

je ne pense pas que tu héberge des données ultra confidentielle de la défense nationnal ?

Non effectivement ^^ ! Mais il s'agit en fait d'un (essai) de jeu de rôle multijoueur style navigateur. C'est pourquoi je veux protéger de façon assez efficace mon architecture bdd, tout ça... Même si le jeu n'aboutit pas (ce dont j'ai peur, notamment concernant la capacité de traitement du serveur free), le but était de me faire une petite expérience html/php/mysql/javax/applet java.
Si pas mal de joueurs y jouent un jour (on peut toujours rêver), il serait un peu mal venu qu'un hacker vienne tout détruire.

En passant, penses-tu que le serveur sql de free puisse gérer de façon convenable le flux de requêtes générées par disons... une centaine de joueurs ? (Le jeu est en mode texte et n'aura que des fonctionnalités minimales).

je pense que le risque le plus grand est du coté de ton serveur ftp

Tu peux en dire un peux plus STP ça m'interesse !

[Invité]

Ne t'inquiète pas, il n'est pas possible d'accéder facilement aux source php d'un site , et je pense que si un jour c'est possible, tu ne sera pas celui qui est le plus dans la merde.

Le FTP peut etre inquiétant vu que c'est ton seul moyen pour accéder au contenu des fichier , donc un truc sur ton pc qui trace tout sur le port 21 , ou un truc dans el genre peut récupérer tes log et accéder au ftp.

Si tu veut avec le navigateur t'es comme le client d'un resto, tu vois que le plats fini, et t'a pas le droit de rentrer en cuisine.
Avec un ftp ben tu rentre en cuisine et tu regarde la recette et les ingrédients

[riete]

Ne t'inquiète pas, il n'est pas possible d'accéder facilement aux source php d'un site , et je pense que si un jour c'est possible, tu ne sera pas celui qui est le plus dans la merde.

Impossible n'est pas informatique, ya toujours plus malin que les autres. Disons limité pour paraître moins sûre de soi.

En passant, penses-tu que le serveur sql de free puisse gérer de façon convenable le flux de requêtes générées par disons... une centaine de joueurs ? (Le jeu est en mode texte et n'aura que des fonctionnalités minimales).

Ce que je te dis n'engage que moi. Primo free est limité au niveau de la charge que tu peux infliger à ton serveur MySQL, mais les limtes sont hautes. Je ne m'en rappel plus exactement . Secondo, un jeux de rôle ne demande pas de réactions très vives du serveur, mais parfois free donne de sérieux signe de faiblesse et/ou surcharge.
Donc wait and see.

Pour le ftp, comme je te le disais pas tout à fait clairement tout à l'heure, le risque vient de ton client ftp. Mais reste zen, il faut déjà que ton PC maison soit localiser pour que tu sois 'à risque'.
Faux que j'y aille .... A+

[tierra]

ok merci beaucoup pour toutes vos réponses ! Finalement le risque est donc assez minime.

[amazircool]

Je ne comprends pas bien ton problème. Je crois qu'il faut tout d'abord savoir si le serveur HTTP est sur un réseau local ou ouvert sur Internet ou les deux.

Ensuite tu peux définir ta politique de sécu au niveau de l'OS et non au niveau HTTP/php. Il ne faut pas tou mélanger.

htaccess n'a rien à voir la dedans, enfin il me semble. A moins que la racine (ou un des répertoires) de ton serveur HTTP soit en partage ?

Décris nous un peu plus ton architecture et je pourrais peut être te renseigner.

frère riete je sais pas si vous avez un tuto concernant la secu au niveau OS et au niveau HTTP/PHP.
merciiiii