Discussion :

[Skarlix]

Salut,

J'ai commencer a faire mon site avec des include mais en cherchant un autre truc j'ai lu des sites qui disaient que ce n'est pas forcement sécurisé.

Alors bon j'ai compris pourquoi par moment c'est pas sécurisé mais j'aimerais savoir ce que vous pouvez me dire concercenant mon script.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
<?php
if(!isset($page))
{
include("./inc/header.inc.php");
include("./inc/index.inc.php");
include("./inc/footer.inc.php");
}
else
{
if(file_exists("$page.php"))
{
include("./inc/header.inc.php");
include ("./$page.php");
include("./inc/footer.inc.php");
}
else
{
include("./inc/header.inc.php");
echo "La page $page n'existe pas !<br>Veuillez contacter Le webmaster";
include("./inc/footer.inc.php");
}
}
?>

Y a t-il une chance que quelqu'un tape ce qu'il souhaite comme parametre a la place de ma page pour exploiter une faille quelconque ?

Si oui que dois je faire pour sécurisé ?

Je débute en PHP et donc j'aimerais éviter les surprises

Merci d'avance pour vos réponse

[Nesmontou]

Salut, je ne suis pas expert en sécurité mais j'ai pensé à quelques trucs :

- si tu fais un include "sauvage" qui va chercher une page saisie par l'utilisateur, à mon avis, c'est pas bon

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
$page = isset($_GET['page']) ? $_GET['page'] : '';
include($page);

- personnellement, j'utilise un tableau qui regroupe les pages qui sont "autorisées" à être includées

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
$mesPages = array(
  'home' => 'home.php',
  'page1' => 'page1/index.php',
  'page2' => 'page2/index.php');
 
  $page = isset($_GET['page']) ? $_GET['page'] : 'home';
 
  if(array_key_exists($page, $mesPages)) include($page);
  else echo 'La page n\'existe pas';

Voilà, je ne sais pas si cette méthode est la bonne, mais elle supprime au moins une faille (je crois et j'espère)

Bon développement ;-)

[Mr N.]

Je te propose de faire de la manière suivante :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
 
<?php
$page = $_REQUEST['page']; //A cause de register_globals on/off
$allowed_pages = array('accueil', 'membres', 'photos', 'articles', ...);
if (!in_array($page, $allowed_pages)) { //Si la page n'est pas autorisée
   die('Hacking attempt !'); //On lui dit d'aller se faire cuire un oeuf
}
...

EDIT: je me suis légèrement fait grilled...

[Skarlix]

Ah ouais excellent comme méthode, c'est pas con

Merci bien les gars !!

[Skarlix]

Merci d'avoir changer le titre du poste effectivement c'est une bonne astuce qui peut servir aux ignares comme moi