begin process at 2012 05 30 23:09:32
  Trouver un code source :
 
dans
 
[ Dernières recherches ]
Accueil > Forum > 

Archive PHP

 > 

Archives

 > 

AU SECOURS !!!

 > 

Empecher l'execution de php avec un include

Derniers messages déposésPoser une question dans le forum ou lancer une discussion

Empecher l'execution de php avec un include

mercredi 22 juin 2005 à 01:15:40 | Empecher l'execution de php avec un include

MadM@tt

Membre Club
Bonjour à tous,

voilà la question va peut etre vous paraitre stupide, mais lorsqu'on fait un include en php, est ce que le code php de la page incluse est interprété.
C'est à dire est ce qu'un hacker peut écrire du code php dans une page (à des fins ) et lorsqu'il l'upload sur mon site et que j'affiche sa page avec include, son code sera t'il executé ?? (je pense que oui... )

Si oui comment l'empecher ??
Je pensais à un str_replace() qui remplace les balises php (et asp et javascript au passage) par du vide, mais le problème c'est que la page que j'inclus est un tutoriel de programmation, donc si c'est un tutoriel sur du php il faut bien que l'auteur du tutoriel puisse écrire les balises <?php et ?> sans que cela soit interprété voyez-vous...

Et cela me semble possible car il est bien possible d'afficher les caractères <? et ?> dans cette page, ceux-ci ne sont pas interprétés par le serveur (bien que ça soit de l'asp ici ...)

Donc que faire ??

Je vous remercie grandement de votre aide..

(et au fait ce problème est le meme pour les commentaires d'un forum par exemple, car je voudrais la meme protection dans mon forum)

Ciaò
MadMatt
http://matthieu.napoli.neuf.fr/wintools.html
mercredi 22 juin 2005 à 08:56:04 | Re : Empecher l'execution de php avec un include

Isengard
Si tu souhaites empecher un hacker d'inclure un fichier externe il faut que tu prévoye les quelques fichiers qui seront les seuls à pouvoir être inclus. Par exemple, tu passes une variable en paramètre avec la méthode get : url= mapage.php?action=pagetutotiel

Et sur mapage.php à l'endroit ou tu include, tu fais un switch pour tester la valeur de action sur toutes les valeurs possibles :

switch($action) {
    case "index" :
       include("index.php");
       break;
    case "pagetutoriel" :
       include("pagetutoriel.php");
       break;
    case ...
       ...  
       ...
    default :
       include("erreur.php");
       break;
}

L'inclusion passe par le switch et la page incluse dépend de la valeur de $action. Si action a une valeur qui n'est pas prévue par ton code, ca va en défaut et ca affiche une erreur. Et comme ça c'est sécurisé ! (on peut aussi utiliser la methode pour prevoir des traitements masi ca devient lourd apres :) )

"Celui qui brise une chose pour découvrir ce que c'est a quitté le chemin de la sagesse"
mercredi 22 juin 2005 à 09:07:08 | Re : Empecher l'execution de php avec un include

garfield90
Salut,

n'utilise pas un include et parse ton fichier afin que t'es <?php deviennent des &lt;php et ?> des ?&gt;, comme ca ton probleme est résolu.

Ou alors tu ouvres le fichier au chargement est tu parses ton fichier afin de faire le remplacement des balises puis include

"They are 10 sorts of persons whose understand binary and whose not"
mercredi 22 juin 2005 à 09:17:05 | Re : Empecher l'execution de php avec un include

malalam

Administrateur CodeS-SourceS
Hello,

ouais enfin, y a plus simple quand meme ;-)
highlight_file ()

http://de2.php.net/manual/en/function.highlight-file.php
mercredi 22 juin 2005 à 12:07:15 | Re : Empecher l'execution de php avec un include

MadM@tt

Membre Club
Mince je suis désolé, j'avais complétement oublié que j'avais changé la méthode pour afficher la page...
En fait j'utilise pas un include, j'utilise un iframe

donc je voulais savoir si le php sera executé dans la page contenue dans mon frame (elle se trouve sur le meme serveur) ?

Et pour "parser" un fichier, on fait comment ? C'est quoi parser un fichier ?

Merci en tout cas pour vos réponses si rapides

Malalam >> J'ai regardé la doc de cette fonction ça à l'air de me convenir, seulement comment faire la meme chose pour une page qui est dans un iframe ? Parce que cette page peut ouvrir d'autres liens (enfin ça fait comme un petit navigateur interne à la page...) donc il faudra refaire cette méthode à chaque changement de page... Et ça risque de me colorier des mots, des phrases aussi non ?

Ciaò
MadMatt
http://matthieu.napoli.neuf.fr/wintools.html
mercredi 22 juin 2005 à 12:17:59 | Re : Empecher l'execution de php avec un include

Anthomicro
Réponse acceptée !
Salut,

oui, le PHP sera exécuté.
    mercredi 22 juin 2005 à 12:28:42 | Re : Empecher l'execution de php avec un include

    MadM@tt

    Membre Club
    Merci, ça c'est de la réponse.
    Alors j'ai réfléchi un petit peu et jme suis dis que si j'autorise juste les fichiers d'extension .htm et .html à s'afficher c'est bon alors ?
    Aucun php executé parce que ça n'est pas dans la page .php que ce code se trouvera, mais dans une page .htm

    Ciaò
    MadMatt
    http://matthieu.napoli.neuf.fr/wintools.html
    mercredi 22 juin 2005 à 12:48:31 | Re : Empecher l'execution de php avec un include

    Anthomicro
    Réponse acceptée !
    tout à fait (pour peu que le serveur n'interprète pas, ce qui est généralement le cas, les extensions .htm)

    mais bon tu prends quand même des risques, si tu fais un include d'un fichier (qu'il porte n'importe quelle extension) et qu'il contient du code php, le php sera exécuté. Ainsi si ta page html contient ça :

    <?php
        echo 'je t\'ai cassé';
    ?>

    ça sera affiché ^^
      mercredi 22 juin 2005 à 12:56:39 | Re : Empecher l'execution de php avec un include

      MadM@tt

      Membre Club
      Oui oui je vois, mais la il s'agit d'un iframe donc à priori c'est bon si le serveur n'executera pas le php qui pourrait etre contenu dans une page .htm...

      Merci beaucoup pour vos infos

      Ciaò
      MadMatt
      http://matthieu.napoli.neuf.fr/wintools.html
      mercredi 22 juin 2005 à 13:02:07 | Re : Empecher l'execution de php avec un include

      Anthomicro
      Réponse acceptée !
      ok si tu passes par une iframe (beurk) ça sera une page html normale et donc non exécutée

        1 2

        Cette discussion est classée dans : page, code, php, include, empecher

        Répondre à ce message

        Sujets en rapport avec ce message

        Refresh et include [ par Leneuf8000 ] Rebonjour... Voila j'ai 2 pages ! Dans une page j'ai du code PHP qui créé des graphes avec JPGRAPH et des données tirées d'une bdd, dans l'autre page problème de lien avec mysql [ par mathieuweb86 ] Bonjour à tous, J'explique mon problème un forum avec des liens include dynamique, du style: [code=php] 'accueil' => 'include/accueil.php', problème page suivante en php [ par delfti ] hello, c'est re-moi, je suis maintenant sur mon moteur de recherche et j'ai un p'tit problème de limite suivante pour page suivante primo, il capte p header () [ par unbreton29 ] Bonjour, Je commence à m'arracher les cheveux, et personnellement, je préfèrerai les garder [^^langue3] Voici mon problème : j'ai un formulaire de un liens image qui change l'include de la page [ par hadesD ] Bonjours, je souhaite faire plusieurs liens image qui change l'include de ma page principale(le corps de ma page pour être preci),je essaye plusieurs probleme d'affichage de code sur une page PHP d'un formulaire ... [ par bentos ] Bonjour a tous je vais faire vite ...j'ai un gros souci sur un code PHP d'un site web et j'arrive pas a le reglé [^^confus2] le probleme, c'est qu Problème de page.. [ par shadow578 ] Bonjour, Je vais vous exposer mon problème afin que vous m'aidiez à le résoudre ... Donc j'ai une page 'news.php' sur le qu'elle à l'aide d'un 'while $POST [ par eva4 ] Bonjour, Dans une page j'ai des données qui arrivent sous cette forme : [code=php]$valeur1 = $_POST['mon_champ']; $valeur2 = $_POST['mon_ [PHP] Problème de sécurisation de page. [ par sarahjtm ] Bonjour, Je vous explique mon problème en essayant d'être le plus compréhensible. Je dispose d'un script Allopass (qui permet d'acheter un code), ce Probleme de header, message erreur "Cannot modify header information - headers already sent by..." [ par sebing ] Bonsoir, J'ai un message d'erreur qui apparait: [quote]Warning: Cannot modify header information - headers already sent by (output started at /mnt/159


        Nos sponsors


        Sondage...

        Comparez les prix


        Mio - Moov V735 - GPS Europe - Ecran 7"
        Entre 305€ et 375€

        Visiter le guide achat

        CalendriCode

        Mai 2012
        LMMJVSD
         123456
        78910111213
        14151617181920
        21222324252627
        28293031   

        Consulter la suite du CalendriCode

        A découvrir
         
        Développement réalisé par Nicolas SOREL (Nix) avec l'aide de : Cyril DURAND et Emmanuel (EBArtSoft), Merci à Vincent pour ses précieux conseils.
        CodeS-SourceS.com© Toute reproduction même partielle est interdite sauf accord écrit du Webmaster
        CodeS-SourceS.com© est une marque déposée tous droits réservés

        Google Coop CodeS-SourceS Google Coop CodeS-SourceS
        Temps d'éxécution de la page : 1,310 sec (3)

        Nous contacter | Annoncer sur CodeS-SourceS | Mentions légales
        Outils Convertisseur VB/C# Snippets et scripts Outils en ligne La ToolBox
        Communauté Programmation Photographie Technologie Newsgroups Emploi Forum Blogs
        Guide d'achat Téléphonie mobile Image et son Informatique Bureautique Jeux vidéo
        Logiciels Internet & Réseau Développement Market Android Jeux & Loisirs Graphisme Multimédia Sécurité Pilotes
        Loisirs Cartes virtuelles Vidéos droles Jeux en ligne Géoguide AndroLib (Android Market)