|
|
  Posté le: Lundi 4 Septembre 2006 14:11:54
Numéro présent dans le profil, mais problème de récupération des caractéristiques de la ligne
|   |
|
|
lfl_038
(Auteur du topic)
Connaisseur
Hors-ligne
Inscrit le : 20 Mai 2005
Messages : 2777
Sexe : 
Ville : Le Versoud (38)
Forfait : Freebox Dégroupage Partiel
Freebox : N/A
|
|
|
|
|
 |
|
Bonjour,
Je me pose une question :
J'ai sur plusieurs de mes sites des fichiers PHP permettant d'accéder à des bases MySQL (1 par site).
Or par facilité, ces fichiers incluent tous un fichier de type login.php (pour des raisons évidentes de sécurité il est nommé différemment sur mes sites) :
| Code: | include("login.php");
@mysql_connect($host,$user,$passwd); |
J'aimerais savoir si, à partir d'un autre site, un pirate peut inclure ce fichier dans un de ses scripts PHP et ainsi récupérer mes identifiants et mots de passe, du genre :
| Code: | include("http://laurent.flaum.Free.fr/login.php");
echo "Host:".$host."<br>\n";
echo "User:".$user."<br>\n";
echo "Pwd".$passwd."<br>\n"; |
D'après les tests que j'ai effectué, il semblerait que non (il n'y a pas de message d'erreur mais le fichier ne semble pas interprété), mais j'aimerais en avoir la confirmation.
Merci d'avance. |
|
_________________
1 client satisfait = 1 client de gagné, 1 client insatisfait = 10 clients de perdus.
_________________
Téléphonie Freebox : voir ma proposition de verrouillage de la ligne téléphonique
Protection de la Freebox contre les surtension : voir mes solutions
Merci à la VieuxGeoBox toujours fidèle depuis 2005.
Freebox : Freebox Révolution (V6) - NRA : DOM38 (Domene) V2 - Ligne : 3394 m (39 dB) |
|
|
|
| Posté le: Lundi 4 Septembre 2006 14:13:59
Pas de caractéristiques de ligne pour un abonnement avec construction de ligne
| |
|
|
freemat
Webmaster
Hors-ligne
Inscrit le : 06 Mar 2004
Messages : 23595
Sexe :
Ville : Montargis
Forfait : Freebox Dégroupage Total avec construction de ligne
Freebox : v4r
|
|
|
|
|
|
|
Il est évident que non (sinon n'importe qui pourrait voir les sources php via un simple navigateur  )
Un fichier appelé via http ne pourra donner la source php vu qu'il a été parsé d'abord par le serveur. |
|
_________________
Mat
[1] Posez votre question sur le forum en priorité, et non par messages privés
[2] Evitez de poster votre propre problème dans le topic d'un autre membre
[3] Si votre problème est résolu, modifiez le statut de votre topic en bas de la page |
|
|
|
| Posté le: Lundi 4 Septembre 2006 14:32:02
Numéro présent dans le profil, mais problème de récupération des caractéristiques de la ligne
| |
|
|
lfl_038
(Auteur du topic)
Connaisseur
Hors-ligne
Inscrit le : 20 Mai 2005
Messages : 2777
Sexe :
Ville : Le Versoud (38)
Forfait : Freebox Dégroupage Partiel
Freebox : N/A
|
|
|
|
|
|
|
Bonjour Freemat,
| freemat a écrit: | Il est évident que non (sinon n'importe qui pourrait voir les sources php via un simple navigateur )
Un fichier appelé via http ne pourra donner la source php vu qu'il a été parsé d'abord par le serveur. |
Je pense que tu n'as pas tout à fait compris ma question, il est bien évident pour moi que le code php n'apparait pas directement dans le navigateur.
Je réexplique donc en détail ma question :
J'ai mon fichier "login.php" qui définit les variables $host, $user et $passwd, exemple :
| Code: | <?php
$host = "sql.Free.fr";
$user = "laurent.flaum";
$base = $user;
$passwd = "monpassw";
?> |
Maintenant j'exécute le fichier test.php sur mon site http://laurent.flaum.Free.fr contenant:
| Code: | <html><body>
<?
include("login.php");
echo "Host:".$host."<br>\n";
echo "User:".$user."<br>\n";
echo "Pwd:".$passwd."<br>\n";
?>
</body></html> |
Il affiche bien les 3 valeurs.
Si je prend le même fichier et que je remplace "login.php" par "http://laurent.flaum.Free.fr/login.php" et que je place ce fichier sur un autre site (par exemple http://laurentflaum.Free.fr ):
| Code: | <html><body>
<?
include("http://laurent.flaum.Free.fr/login.php");
echo "Host:".$host."<br>\n";
echo "User:".$user."<br>\n";
echo "Pwd:".$passwd."<br>\n";
?>
</body></html> |
Il semblerait que les variables $host, $user et $passwd ne soient pas renseignées mais est-ce une sécurité de Free et est-ce que cela marche si je place ce fichier test.php chez un autre hébergeur ? |
|
_________________
1 client satisfait = 1 client de gagné, 1 client insatisfait = 10 clients de perdus.
_________________
Téléphonie Freebox : voir ma proposition de verrouillage de la ligne téléphonique
Protection de la Freebox contre les surtension : voir mes solutions
Merci à la VieuxGeoBox toujours fidèle depuis 2005.
Freebox : Freebox Révolution (V6) - NRA : DOM38 (Domene) V2 - Ligne : 3394 m (39 dB) |
|
|
|
| Posté le: Lundi 4 Septembre 2006 14:38:26
Pas de caractéristiques de ligne pour un abonnement avec construction de ligne
| |
|
|
freemat
Webmaster
Hors-ligne
Inscrit le : 06 Mar 2004
Messages : 23595
Sexe :
Ville : Montargis
Forfait : Freebox Dégroupage Total avec construction de ligne
Freebox : v4r
|
|
|
|
|
|
|
| lfl_038 a écrit: | | Je pense que tu n'as pas tout à fait compris ma question, il est bien évident pour moi que le code php n'apparait pas directement dans le navigateur. |
J'ai tout a fait compris la question ! C'est exactement la même chose, à partir du moment où la requête est fait via http, le code source php ne pourra pas être récupéré, peu importe que cela soit à partir d'un navigateur, d'un script php, ... ! |
|
_________________
Mat
[1] Posez votre question sur le forum en priorité, et non par messages privés
[2] Evitez de poster votre propre problème dans le topic d'un autre membre
[3] Si votre problème est résolu, modifiez le statut de votre topic en bas de la page |
|
|
|
| Posté le: Lundi 4 Septembre 2006 14:54:47
Numéro présent dans le profil, mais problème de récupération des caractéristiques de la ligne
| |
|
|
lfl_038
(Auteur du topic)
Connaisseur
Hors-ligne
Inscrit le : 20 Mai 2005
Messages : 2777
Sexe :
Ville : Le Versoud (38)
Forfait : Freebox Dégroupage Partiel
Freebox : N/A
|
|
|
|
|
|
|
| freemat a écrit: | | J'ai tout a fait compris la question ! C'est exactement la même chose, à partir du moment où la requête est fait via http, le code source php ne pourra pas être récupéré, peu importe que cela soit à partir d'un navigateur, d'un script php, ... ! |
Merci Freemat et désolé de ne pas avoir compris ta première réponse.
Si j'ai bien compris, quand on fait un include:
- si le lien vers le fichier inclus contient une URL et si son extension est .php le fichier est interprété, donc vide
- si le lien vers le fichier ne contient pas d'URL mais uniquent un nom de fichier, le fichier est lu.
Donc contrairement à ce que certains disent, il vaut mieux mettre une extension .php à ce fichier pour qu'il soit interprété car sinon il est renvoyé tel quel. |
|
_________________
1 client satisfait = 1 client de gagné, 1 client insatisfait = 10 clients de perdus.
_________________
Téléphonie Freebox : voir ma proposition de verrouillage de la ligne téléphonique
Protection de la Freebox contre les surtension : voir mes solutions
Merci à la VieuxGeoBox toujours fidèle depuis 2005.
Freebox : Freebox Révolution (V6) - NRA : DOM38 (Domene) V2 - Ligne : 3394 m (39 dB) |
|
|
|
| Posté le: Lundi 4 Septembre 2006 15:04:35
Pas de caractéristiques de ligne pour un abonnement avec construction de ligne
| |
|
|
freemat
Webmaster
Hors-ligne
Inscrit le : 06 Mar 2004
Messages : 23595
Sexe :
Ville : Montargis
Forfait : Freebox Dégroupage Total avec construction de ligne
Freebox : v4r
|
|
|
|
|
|
|
| lfl_038 a écrit: | Si j'ai bien compris, quand on fait un include:
- si le lien vers le fichier inclus contient une URL et si son extension est .php le fichier est interprété, donc vide |
Oui, exactement comme si il était appelé via un navigateur web.
| Citation: | | - si le lien vers le fichier ne contient pas d'URL mais uniquent un nom de fichier, le fichier est lu. |
Exact, inclusion pure sans interprétation.
| Citation: | | Donc contrairement à ce que certains disent, il vaut mieux mettre une extension .php à ce fichier pour qu'il soit interprété car sinon il est renvoyé tel quel. |
En effet. Et il est mieux de le mettre dans un répertoire contenant un htaccess avec "deny from all" dedans. |
|
_________________
Mat
[1] Posez votre question sur le forum en priorité, et non par messages privés
[2] Evitez de poster votre propre problème dans le topic d'un autre membre
[3] Si votre problème est résolu, modifiez le statut de votre topic en bas de la page |
|
|
|
| Posté le: Lundi 4 Septembre 2006 15:06:54
Numéro présent dans le profil, mais problème de récupération des caractéristiques de la ligne
| |
|
|
lfl_038
(Auteur du topic)
Connaisseur
Hors-ligne
Inscrit le : 20 Mai 2005
Messages : 2777
Sexe :
Ville : Le Versoud (38)
Forfait : Freebox Dégroupage Partiel
Freebox : N/A
|
|
|
|
|
|
|
| freemat a écrit: | ...
En effet. Et il est mieux de le mettre dans un répertoire contenant un htaccess avec "deny from all" dedans. |
Merci pour ces informations et pour ce "tuyau".
Bonne journée. |
|
_________________
1 client satisfait = 1 client de gagné, 1 client insatisfait = 10 clients de perdus.
_________________
Téléphonie Freebox : voir ma proposition de verrouillage de la ligne téléphonique
Protection de la Freebox contre les surtension : voir mes solutions
Merci à la VieuxGeoBox toujours fidèle depuis 2005.
Freebox : Freebox Révolution (V6) - NRA : DOM38 (Domene) V2 - Ligne : 3394 m (39 dB) |
|
|
|
|
|
