HTACCESS - bloquage direct access sauf les include php

27 févr. 2010, 14:16

Bonjour,

J'utilise depuis quelques temps un code htaccess me permettant de bloquer un accès direct à un dossier et ses sous-dossiers mais laissant tout de même passer les pages en include pHP.

Je me demandais si :

1. la sémantique d'un tel htaccess est-elle correcte ?
2. est ce que c'"est normal pour un tel htaccess qui laisse tout de même passer les pages include
3. est-ce déontologique d'utiliser un tel htacess ?

Code : Tout sélectionner

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName AccesRestreint
AuthType Basic

<limit GET POST>
order deny,allow
deny from all
</Limit>

Merci pour vos réponses,
raph

27 févr. 2010, 18:47

Attention au <limit GET POST> et pas conseillé du tout dans ton cas.
Si la personne utilise une méthode HTTP fictive, les paramétrages <limit montrent vite un problème de sécurité (dans certaines circonstances).

Le order deny,allow est inutile ici, car il n'y a pas de allow ,donc aucun besoin d'assigner un ordre quelconque.

Donc simplement:

Code : Tout sélectionner

deny from all

Sinon, les fichiers include() et require() sont incluent en local par le serveur..
Donc c'est tout à fait normal que ces mêmes fichiers soient acceptés.
Par contre tout accès extérieur est interdit.

27 févr. 2010, 22:11

Merci DR@KE !

28 févr. 2010, 12:39

Modération :
Si ta question est résolue, pense à l'indiquer pour que les futures personnes qui voudront consulter ce sujet sachent qu'il contient une solution.
Tu peux réaliser cette opération toi-même en cliquant sur le bouton

en haut à droite de la réponse qui te semble la plus pertinente.

HTACCESS - bloquage direct access sauf les include php

Qui est en ligne