Discussion :

[lelapinrusse]

Bonjour à tous,


J'ai un certains nombres de pages qui sont protégées avec un formulaire d'authentification et ensuite des variables session.

Cela dit, j'ai des pages du type connexion.php, captcha.php ou l'adresse peut être tapé dans l'url. Bien sur ca ne permet pas d'acceder à la zone sécurisée.

Dans ces pages, des informations sont stockée en clair comme les codes pour se connecter à la base de données.

Y a-t-il un danger ?
Si oui, est-il possible de refuser l'accès à ces pages, mais de pouvoir y accéder quand même quand je fais un include ?

Je connais un peu .htaccess si ca peut aider à m'expliquer.

[sabotage]

Si tes pages sont incluses uniquement, tu peux effectivement demander a Apache de ne pas les diffuser en mettant un .htaccess

Cela permet d'eviter que le contenu PHP puisse être vu si le code n'etait plus interpreté.

[RideKick]

Y a-t-il un danger ?
Si oui, est-il possible de refuser l'accès à ces pages, mais de pouvoir y accéder quand même quand je fais un include ?

Je connais un peu .htaccess si ca peut aider à m'expliquer.

Oui il y a un danger , et le .htaccess correspond justement a tes besoins.

[lelapinrusse]

Merci beaucoup.
J'ai parle un peu trop vite.

J'ai mes pages à la racine du site et un répertoire "securite" dans lesquel j'ai place mon .htacces, connexion.php et captcha.php.

.htaccess

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
<limit GET POST>
order deny,allow
deny from all
</Limit>

Cela fonctionne donc pour le fichier connexion.php

mais pas pour la page "captcha.php". La page ou on introduit le login et mot de passe n'affiche pas le captcha. En effet celui-ci n'est pas utiliser avec un include mais comme ceci:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
<img src="securite/captcha.php">

Y a-t-il une solution ?

[blueice]

Le plus(+) sécurisé est de placer les fichiers sensibles en dehors de la racine accessible par tous.
Au moins, si ça gamelle et que ça affiche le code PHP, Apache lui ne permettra pas de voir ces fichiers

[lelapinrusse]

Je comprend bien.

D'ou ma question: est-il possible de placer ma page "captcha.php" ou "login.php" dans le repertoire "securite" proteger par un .htaccess et de a une page de la racine (administration.html) d'acceder aux pages du répertoire ?

Evidement, sans passer par un deuxieme formulaire a chaque fois,

[blueice]

Avec ce que j'ai indiqué pas besoin de protéger...

Pourquoi protéger la page du captcha ?

[lelapinrusse]

donc je met tous les fichiers dans le repertoire "securite" sans meme utiliser un .htaccess et mes pages "connexion.php" ou "login.php" ne risque rien ?

Je veux dire par la, il n'est pas possible d'avoir les codes de connexion ou le login et mot de passe contenu dans les pages ?