DEBAT : Faille Include et autres.

Bonjour tout le monde !

Alors voilà, je m'adresse principalement aux pros du php mais tout le monde peut participer ou poser ses question ici.
Voilà :

Je cherche à comprendre un max de systèmes de sécurités, or ayant créé un site avec énormément de include(quelquechose), j'entend de plus en plus parler de cette fameuse faille. Alors j'ai lancé Google, et chercher un maximum de renseignements sur cette faille, mais je n'ai rien trouvé, même sur les différents posts de ce site ...

Si vous pouviez m'expliquer quelle est cette faille exactement et comment la protéger, ce serait vraiment cool. De plus, c'est un débat, s'il y a d'autres failles n'hésitez pas à en parler.

MERCI !

Salut!
Bah en fait c'est quand tu as une page du genre:
index.php?page=mapage.php

Et que tu fais:
include( $_GET['page'] );
parce que, suivant la valeur qu'on donne à $page ca peut inclure un script se trouvant sur un site distant ( ou sur ton serveur si on connait la hierarchie ou bien réussi à uploader qqch ). Ce script peut, par exemple, vider ton ftp.

Ce que tu fais c'est que tu passes une valeur correspondant à une page, genre:
index.php?page=page
index.php?page=accueil
index.php?page=contact

Et que tu associe à ca un fichier à inclure, par le biais d'un switch, d'un tableau associatif, ou autre.
Perso, j'utilise une table mysql, ce qui me permet d'avoir plusieurs infos par page et d'incrémenter un nombre pour savoir quelles pages sont les plus vues...

@++

R@f


www.allpotes.ch: Photos, humour, vidéos, gags, ...

"On dit que seulement 10 personnes au monde comprenaient Einstein. Personne ne me comprends. Suis-je un génie???"

En gros, comme j'utilise pleins de include('top.php') mais que le lien n'est juste index.php sans rien après, je ne crain rien ...

Salut!
Tant que un visiteur ne peut pas faire inclure un fichier à la place d'un autre, aucun pb.
Faut juste faire gaffe à ses variables, développer en erreurs à E_ALL et c'est tout bon! :)

@++

R@f

www.allpotes.ch: Photos, humour, vidéos, gags, ...

"On dit que seulement 10 personnes au monde comprenaient Einstein. Personne ne me comprends. Suis-je un génie???"

Encore une dernière question :

Mettons j'ai mon code :

<BR><? include('top.php'); ?>
<BR>Bienvenue

Et que dans top.php, j'ai uniquement : Coucou

Si quelqu'un regarde le code de ma page, il vera quoi ?

1)
<BR><? include('top.php'); ?>
<BR>Bienvenue

ou

2)
<BR>Coucou
<BR>Bienvenue

Merci !

Salut, tu n'a cas essayer !

---

Si un des membres à poster une reponse qui convient, accepter là !

:)
Dans le premier cas, il verrait le code PHP et les mots de passe pour la base de données, ca serait pas très sympa pour le webmaster, :)

@++

R@f

P.S. On utilise <?php et plus <? pour d'éventuels pbs de compatibilité sur certains serveurs

www.allpotes.ch: Photos, humour, vidéos, gags, ...

"On dit que seulement 10 personnes au monde comprenaient Einstein. Personne ne me comprends. Suis-je un génie???"

Salut,

Failles PHP

sinon pour ce qui est d'autres failles, t'as les failles de sql injection (modifier une requête en ajoutant des caractères spéciaux), les failles de défaçage (xss il me semble) du genre taper <textarea> dans un formulaire et t'as ça qui s'affiche (mais qui est pris en compte au lieu de transformer les < et > en &lt; et &gt; etc...

---

• Entraide, dépannage et vulgarisation informatique : Mon site de vulgarisation informatique

EXCELLENT TON SITE !!!!!!!!!!!!

merci :-)

---

• Entraide, dépannage et vulgarisation informatique : Mon site de vulgarisation informatique