Forum d'entraide PHPFrance

Bonjour,
j'ai lu un tutoriel qui parlais de .htaccess et .htpasswd
J'aurais voulu savoir ce qu'il faut protéger avec ça.
Merci!

C'est effectivement le moyen de limiter l’accès par un user et un mot de passe à un répertoire (et aux sous répertoire).

Le mot de passe doit être stocké crypté dans le fichier, mais il existe des sites qui permettent le cryptage d'un mot de passe au bon format.

D'accord! mais ce répertoire peut contenir quoi par exemple?

Un répertoire peut par définition contenir tout type de fichier.

Dans la mesure du possible, il faut mettre les fichiers que l'on souhaite protéger en dehors de l'arborescence du site. C'est à dire non accessible via le navigateur. C'a n'empêche pas pour autant php d'y accéder.
C'est le cas du fichier des mots de passe, du fichier des includes (accessible grace à l'include path), du fichier temporaire des upload...

je m'explique
Je fais une application HTML/CSS/PHP/SQL. Et je dois l'envoyer sur le serveur de l'entreprise. On m'a dit de protéger tout ça et c'est ainsi que je me suis retrouver sur un tutoriel .htaccess et .htpasswd
J'aimerais donc savoir ce que je dois protéger et donc mettre dans ce répertoire
Je n'ai pas de fichier des mots de passe (du moins je ne pense pas) J'ai une table "utilisateurs" dans ma base de donnée avec les champs mot de passe, pseudo et des champs contenant "oui" ou "non" selon les droits d'accès a certaines pages.
Ensuite je test au début de ces pages si l'utilisateur connecté a le droit ou non d'aller sur la page en question. (session_start() .... )
Je ne m'y connais pas trop. C'est pour ça que je viens chercher des réponses ici

Dans ce cas, c'est uniquement php qui gère la sécurité.

Par contre, si tu as des fichiers "non php" (documents word, images...) confidentiels, c'est le répertoire qui les contient qu'il faut protéger en en interdisant totalement la lecture via .htaccess. Pour pouvoir les lire, tu utilises alors un script PHP qui contrôle l’accès.

Le script PHP de lecture de ces fichiers fait un contrôle du user (comme les autres pages) et ensuite envoie un type/mime (fonction header) et le contenu du fichier (fonction readfile);

d'accord !
Donc mon application est quand même sécurisée?
J'ai mis des tests de droit d'accès que sur les premières pages. Est ce que quelqu'un peut avoir accès aux autres pages d'une quelconque façon?

Essaies en tapant leur urls et tu auras la réponse à ta question.

Je n'ai pas encore accès au serveur donc pour l'instant je suis en local ^^
Mais à mon avis faut que je mette des tests partout!

Bah t'as bien un serveur en local pour faire tourner du PHP non ? ^^

Pour donner une idée du problème, je rappelle qu'il est possible de modifier une url (paramètre et/ou adresse).

Je teste une application ou en fonction de critères que je ne maitrise pas, j'arrive sur 3 pages. Si ce n'ai pas celle que je souhaite, je change le non de fichier et ca roule. Parfois, je change également un numéro de dossier dans l'url pour ne pas avoir à faire tout le cheminement. Si je ne fais pas ca pour pirater, ca prouve qu'il y a potentiellement une faille.