Discussion :

[filoozom]

Bonjour,
dans le but de faire un genre de Web FTP sur mon serveur, j'aimerais interdire à PHP de reculer de dossier.

Voici un exemple:

je me trouve à /www/ où est le site principal.
ensuite, j'ai un autre site sur /www/site2/

Mais si sur /www/site2/ je fais :
<?php
include('../index.php');
?>
il a accès au site principal.

Est-ce possible d'interdire cela (.htaccess par exemple) ?

Merci d'avance

[Ange tête brûlée]

Alors pour interdire l'accès à quelque chose en htaccess il y a deux possibilité :
Le XXX représente une page ou bien une Regex.
deny : refus
allow : autorisé

<FilesMatch "XXX">
Order allow,deny
Allow from localhost
Deny from all
</FilesMatch>
On autorise d'abord au cas tu veux autoriser ton domaine à y accéder.
Tu remplace le localhost par ce qu'il faut

<FilesMatch "XXX">
Order Deny,Allow
Deny from all
</FilesMatch>
On refuse tout accès aucun allow

Sinon tu colle une condition au niveau de l'include pour qu'il n'accepte pas la chaine "../"

[langevert]

Salut,

Si par exemple tu veux accepter tous les fichiers d'un répertoire et de ses sous-répertoires:

Tu peux retrouver le chemin absolu (1) de la page à inclure (notamment avec la fonction realpath) et le comparer au chemin absolu du dossier autorisé (2) : Si 1 contient 2, c'est ok.

[julp]

Alors pour interdire l'accès à quelque chose en htaccess il y a deux possibilité :
Le XXX représente une page ou bien une Regex.
deny : refus
allow : autorisé

<FilesMatch "XXX">
Order allow,deny
Allow from localhost
Deny from all
</FilesMatch>
On autorise d'abord au cas tu veux autoriser ton domaine à y accéder.
Tu remplace le localhost par ce qu'il faut

<FilesMatch "XXX">
Order Deny,Allow
Deny from all
</FilesMatch>
On refuse tout accès aucun allow

Ça ne fonctionnera pas puisque PHP passera directement par le système et non par HTTP (donc Apache).

Salut,

Si par exemple tu veux accepter tous les fichiers d'un répertoire et de ses sous-répertoires:

Tu peux retrouver le chemin absolu (1) de la page à inclure (notamment avec la fonction realpath) et le comparer au chemin absolu du dossier autorisé (2) : Si 1 contient 2, c'est ok.

Ça revient un peu à réinventer open_basedir.

Mais avec un accès FTP relativement libre et/ou une configuration du serveur inappropriée, il sera toujours possible d'aller contre ce genre de mesure. Il aurait mieux valu séparer/isoler les sites dès le départ tant au niveau configuration que "système" (DocumentRoot & co).