Bonjour,
j'ai lu un tutoriel qui parlais de .htaccess et .htpasswd
J'aurais voulu savoir ce qu'il faut protéger avec ça.
Merci!
la communauté d'entraide francophone dédiée au PHP
dossier à protéger
jason32
Invité n'ayant pas de compte PHPfrance
D'accord! mais ce répertoire peut contenir quoi par exemple?
Dans la mesure du possible, il faut mettre les fichiers que l'on souhaite protéger en dehors de l'arborescence du site. C'est à dire non accessible via le navigateur. C'a n'empêche pas pour autant php d'y accéder.
C'est le cas du fichier des mots de passe, du fichier des includes (accessible grace à l'include path), du fichier temporaire des upload...
C'est le cas du fichier des mots de passe, du fichier des includes (accessible grace à l'include path), du fichier temporaire des upload...
jason32
Invité n'ayant pas de compte PHPfrance
je m'explique 
Je fais une application HTML/CSS/PHP/SQL. Et je dois l'envoyer sur le serveur de l'entreprise. On m'a dit de protéger tout ça et c'est ainsi que je me suis retrouver sur un tutoriel .htaccess et .htpasswd
J'aimerais donc savoir ce que je dois protéger et donc mettre dans ce répertoire
Je n'ai pas de fichier des mots de passe (du moins je ne pense pas) J'ai une table "utilisateurs" dans ma base de donnée avec les champs mot de passe, pseudo et des champs contenant "oui" ou "non" selon les droits d'accès a certaines pages.
Ensuite je test au début de ces pages si l'utilisateur connecté a le droit ou non d'aller sur la page en question. (session_start() .... )
Je ne m'y connais pas trop. C'est pour ça que je viens chercher des réponses ici
Je fais une application HTML/CSS/PHP/SQL. Et je dois l'envoyer sur le serveur de l'entreprise. On m'a dit de protéger tout ça et c'est ainsi que je me suis retrouver sur un tutoriel .htaccess et .htpasswd
J'aimerais donc savoir ce que je dois protéger et donc mettre dans ce répertoire
Je n'ai pas de fichier des mots de passe (du moins je ne pense pas) J'ai une table "utilisateurs" dans ma base de donnée avec les champs mot de passe, pseudo et des champs contenant "oui" ou "non" selon les droits d'accès a certaines pages.
Ensuite je test au début de ces pages si l'utilisateur connecté a le droit ou non d'aller sur la page en question. (session_start() .... )
Je ne m'y connais pas trop. C'est pour ça que je viens chercher des réponses ici
Dans ce cas, c'est uniquement php qui gère la sécurité.
Par contre, si tu as des fichiers "non php" (documents word, images...) confidentiels, c'est le répertoire qui les contient qu'il faut protéger en en interdisant totalement la lecture via .htaccess. Pour pouvoir les lire, tu utilises alors un script PHP qui contrôle l’accès.
Le script PHP de lecture de ces fichiers fait un contrôle du user (comme les autres pages) et ensuite envoie un type/mime (fonction header) et le contenu du fichier (fonction readfile);
Par contre, si tu as des fichiers "non php" (documents word, images...) confidentiels, c'est le répertoire qui les contient qu'il faut protéger en en interdisant totalement la lecture via .htaccess. Pour pouvoir les lire, tu utilises alors un script PHP qui contrôle l’accès.
Le script PHP de lecture de ces fichiers fait un contrôle du user (comme les autres pages) et ensuite envoie un type/mime (fonction header) et le contenu du fichier (fonction readfile);
jason32
Invité n'ayant pas de compte PHPfrance
d'accord !
Donc mon application est quand même sécurisée?
J'ai mis des tests de droit d'accès que sur les premières pages. Est ce que quelqu'un peut avoir accès aux autres pages d'une quelconque façon?
Donc mon application est quand même sécurisée?
J'ai mis des tests de droit d'accès que sur les premières pages. Est ce que quelqu'un peut avoir accès aux autres pages d'une quelconque façon?
jason32
Invité n'ayant pas de compte PHPfrance
Je n'ai pas encore accès au serveur donc pour l'instant je suis en local ^^
Mais à mon avis faut que je mette des tests partout!
Mais à mon avis faut que je mette des tests partout!
Pour donner une idée du problème, je rappelle qu'il est possible de modifier une url (paramètre et/ou adresse).
Je teste une application ou en fonction de critères que je ne maitrise pas, j'arrive sur 3 pages. Si ce n'ai pas celle que je souhaite, je change le non de fichier et ca roule. Parfois, je change également un numéro de dossier dans l'url pour ne pas avoir à faire tout le cheminement. Si je ne fais pas ca pour pirater, ca prouve qu'il y a potentiellement une faille.
Je teste une application ou en fonction de critères que je ne maitrise pas, j'arrive sur 3 pages. Si ce n'ai pas celle que je souhaite, je change le non de fichier et ca roule. Parfois, je change également un numéro de dossier dans l'url pour ne pas avoir à faire tout le cheminement. Si je ne fais pas ca pour pirater, ca prouve qu'il y a potentiellement une faille.