Attention à la configuration apache2 de php par défaut
Posté : 31 août 2010, 10:55
A priori, certaines distributions linux utilisent par défaut des directives de configuration pour php avec un "AddHandler application/x-httpd-php .php" et "AddHandler application/x-httpd-php-source .phps" indiquant au serveur comment traiter les fichiers php.
Le problème avec ces directives est que le serveur traitera comme script php tous les fichiers contenant dans leur nom .php c'est à dire fichier.php mais aussi fichier.php.txt.
Cela pose un problème de sécurité sur les formulaires disposant d'un champ d'upload de fichier, qui souvent se basent sur l'extension de fichier afin d'autoriser ou non le fichier.
Dans ce cas il faut modifier les directives pour :
AddType application/x-httpd-php .php et AddType application/x-httpd-php-source .phps
Le problème avec ces directives est que le serveur traitera comme script php tous les fichiers contenant dans leur nom .php c'est à dire fichier.php mais aussi fichier.php.txt.
Cela pose un problème de sécurité sur les formulaires disposant d'un champ d'upload de fichier, qui souvent se basent sur l'extension de fichier afin d'autoriser ou non le fichier.
Dans ce cas il faut modifier les directives pour :
AddType application/x-httpd-php .php et AddType application/x-httpd-php-source .phps