Securiser les fichier PHP dans un dossier

alfirdaous · Le 12/12/2013, à 13:49

Bonjour,

J'ai un dossier "test" qui a 2 fichiers (index.php et head.php), est ce qu'il y a une methode de ne pas permettre l'ouverture du fichier head.php par access direct, par exempe: http://localhost/test/head.php.

Merci a vous

ljere · Le 12/12/2013, à 14:41

étant débutant en php je dirai que tu peux passer par une authentification pour accéder à cette page

alfirdaous · Le 12/12/2013, à 14:52

est ce que vous avez un exemple?

ljere · Le 12/12/2013, à 15:03

biensur quand je cherche comment faire tel ou tel chose en php je regarde toujours la http://php.net/manual/fr/features.http-auth.php

alfirdaous · Le 12/12/2013, à 15:17

je pense que cette methode va bloquer aussi index.php non??

J'ai pas encore teste

ljere · Le 12/12/2013, à 15:31

non tu ne modifies que head.php
index.php ne subira aucune modification

vince2corte · Le 13/12/2013, à 00:41

Salut,
Une méthode indépendante du serveur est de tester quel est le script qui a été lancé dans le fichier "head.php".

if (!eregi("index.php", $_SERVER['PHP_SELF'])) {
	die ("Erreur : vous ne pouvez pas accéder directement à ce fichier...");
}

Ce bout de code oblige le fichier "head.php" à être exécuté via le fichier "index.php" en utilisant un "include" ou un "require" (et leurs variantes "_once").
A noter que dans le bout de code que "eregi" est déprécié, et qu'il vaudrait mieux utiliser un "preg_match", mais j'ai un peu la flemme

alfirdaous · Le 13/12/2013, à 03:50

je pense que ca serait ainsi:

if (!preg_match("#index.php#", $_SERVER['PHP_SELF'])) {
	die ("Erreur : vous ne pouvez pas accéder directement à ce fichier...");
}

bruno · Le 13/12/2013, à 09:15

C'est une façon de faire, bien que ce code ne soit pas très propre...

Solution 1 :

dans les fichiers qui peuvent être appelés directement et qui contiennent des instructions include, require, require_once,… :

define('TEST',true)

dans les fichiers qui ne doivent pas être appelés directement (header.php dans ton exemple) :

if (!defined('TEST') {
    header('HTTP/1.0 403 Forbidden');
    exit;
}

Solution 2 (à mon avis, la plus simple et la plus sûre) :

les fichiers ne devant pas être appelés directement sont placés dans un dossier includes dont l'accès est interdit, soit dans un .htaccess dans le dossier includes :

Deny from all

soit si tu as la main sur le serveur dans la définition du vhost :

<Directory /lechemin/du/site/includes>
    Order deny,allow
    Deny from all
</Directory>

Dernière modification par bruno (Le 13/12/2013, à 09:16)

mazarini · Le 13/12/2013, à 09:56

Bonjour,

Il me semble plus judicieux de mettre les fichiers ne devant pas être appelé directement en dehors des répertoires accessible via le web et de jouer sur l'include_path pour les inclure.
Une autre possibilité (moins bien) est de les stocker dans un sous-répertoire protégé par un .htaccess.

alfirdaous · Le 13/12/2013, à 16:32

@ljere: cette methode ne marche pas

@vince2corte: celle-ci marche bien en utilisant preg_match

@bruno: la premiere methode ne marche, pour la 2eme, j'ai access sur le serveur, est ce qu'on peut la mettre en .htaccess dans le repertoire qu'on voulait proteger, j'ai teste mais ca marche pas:

<Directory /home/alfirdaous//Tests/PHP/x>
    Order deny,allow
    Deny from all
</Directory>

"x" est le repertoire ou je mets les fichiers a proteger

@mazarini: j'ai pas compris pour votre premiere solution, pour la 2eme, je pense que c'est la meme proposee par ljere, mais quand j'appelle index.php je recois la fenetre d'authentification, sinon avec deny allow, ca marche pas, peut etre je me trompe du code propose par bruno

Dernière modification par alfirdaous (Le 13/12/2013, à 16:32)

mazarini · Le 13/12/2013, à 17:08

La solution de Bruno ressemble effectivement sachant que la modification du vhost est mieux que l'ajout du .htaccess. Par contre il faut les mettre dans un sous-répertoire, pas dans le même qu'index.php.

Pour ma première solution, tu modifies le fichier php.ini pour mettre un répertoire en plus.
include_path = "."
devient
include_path = ".:/le chemin de ton répertoire"
(pas sur entre : et ; pour les séparateurs.)
Et ensuite, tu copies les fichiers à inclure dans ce répertoire.

Par exemple, si ton site est dans /home/alfirdaous/www
Tu crées un répertoire /home/alfirdaous/include et tu déplace head.php dans ce répertoire.
tu mets : include_path = "/home/alfirdaous/include" dans le php.ini
Ensuite tu peux faire les includes comme si le fichier était dans le répertoire courant (c'est le . dans le include_path qui te permettait de trouver le fichier dans le répertoire courant jusqu'à maintenant) .

vince2corte · Le 13/12/2013, à 20:36

Heureux d'avoir pu être utile.
La première méthode de bruno est sympa car elle permet de créer des "familles" de fichiers appelant autorisés très simplement en fixant les valeur de la constante. Ça peut être très utile.
Pour la seconde, bien qu'elle soit probablement techniquement très sûre, dans la pratique, quand on gère un site composé de plusieurs milliers de fichers php distribués en modules, ça devient très lourd de couper toute l'arborescence en deux. D'où le petit code pas très propre;)
Petite remarque (qui était aussi valable pour mon code d'ailleurs) : il vaut mieux utiliser cette expression rationnelle

if (!preg_match("#^index.php$#", $_SERVER['PHP_SELF'])) {
	die ("Erreur : vous ne pouvez pas accéder directement à ce fichier...");
}

ou directement

if ("index.php" != $_SERVER['PHP_SELF']) {
	die ("Erreur : vous ne pouvez pas accéder directement à ce fichier...");
}

pour éviter qu'un fichier du genre "old-index.php" ne soit autorisé (à moins que ce soit volontaire pour créer des séries de fichiers)...

Dernière modification par vince2corte (Le 13/12/2013, à 20:41)

mazarini · Le 13/12/2013, à 21:42

En fait, lorsque l'on utilise l'include_path, on a très peu de fichiers dans l’arborescence du site. On a déjà moins besoin de faire des sous-répertoires par modules, enfin si, on a le répertoire du module pour les include et des éventuellement des fichiers pour l'affichage des modules.

Grace à l'include_path, il n'est plus besoin de se poser des questions en fonction du répertoire ou sous-répertoire pour faire les include.

Pour symfony2, on utilise qu'un seul fichier dans la partie web (+ sa version dev). Wordpress doit utiliser 2 fichiers principaux (+ quelques fichiers pour de l'ajax).

A noter que l'on peut définir l'include_path dans le vhost pour en avoir un différent pour chaque host.

alfirdaous · Le 14/12/2013, à 03:45

je vais tester les methodes, pour la 1ere solution de bruno, ca ne marchait pas, et je trouve que c'est un peu lourd de mettre le code sur tous les fichiers

@vince2corte: oui, il fallait mettre un $ et ^, j'ai juste propose cette de preg_match au lieu de eregi, merci pour la remarque

Dernière modification par alfirdaous (Le 14/12/2013, à 03:46)

alfirdaous · Le 15/12/2013, à 10:30

mazarini a écrit :

Il me semble plus judicieux de mettre les fichiers ne devant pas être appelé directement en dehors des répertoires accessible via le web et de jouer sur l'include_path pour les inclure.

J'ai mis de meme:

include_path = ".:/home/alfirdaous/Tests/PHP/x";

et j'ai mis ce code:

index.php:

<?php
echo 'Start';

echo '<br />';

require_once 'head.php';

echo '<br />';

echo 'end';

?>

head.php (sous le repertoire x):

Include me

resultat:

Start
Include me
end

et j'ai mis le code donne par bruno en vhost:

<Directory /home/alfirdaous/Tests/PHP/x/>
                Order deny,allow
                 Deny from all
        </Directory>

resultat lors de l'access au repertoire "x":

Forbidden

You don't have permission to access /Tests/PHP/x/ on this server.

Questions:
1- C'est quoi le bon principe d'utilise include_path?
2- Et si on veut mettre mettre plusieurs include_path?
3- Et si on veut proteger plusieurs repertoires par le code de directiry vhost, on cree pour chacune ou bien on les rassemble?

merci a vous

bruno · Le 15/12/2013, à 10:57

Ce n'est pas normal que tu aies une erreur 403 (Forbidden) et si tu utilises ma solution tu n'as pas besoin de définir inculde_path (ça c'est pour la solution de mazarini avec les includes en dehors de la racine du site)

Si la racine de ton vhost est /home/alfirdaous/Tests/PHP
index.php doit se trouver à la racine avec comme code :

require_once 'x/head.php';

et header.php dans le dossier protégé x

alfirdaous · Le 15/12/2013, à 11:04

bruno a écrit :

Ce n'est pas normal que tu aies une erreur 403 (Forbidden)

Je devais avoir quoi exactement

bruno a écrit :

avec les includes en dehors de la racine du site

la racine du site est:

/home/alfirdaous/Tests/

c'est cette partie que j'ai pas compris, voici l'arborescence du site:

/home/alfirdaous/Tests/PHP
$ ls
index.php
x

et dans "x", j'ai head.php

bruno · Le 15/12/2013, à 11:42

Pardon j’avais mal lu. L'erreur 403 quand tu essaies d’accéder directement au répertoire x est normale.

alfirdaous · Le 15/12/2013, à 12:23

bruno a écrit :

Pardon j’avais mal lu. L'erreur 403 quand tu essaies d’accéder directement au répertoire x est normale.

oui c'est ca

alfirdaous a écrit :

Questions:
1- C'est quoi le bon principe d'utilise include_path?
2- Et si on veut mettre mettre plusieurs include_path?
3- Et si on veut proteger plusieurs repertoires par le code de directiry vhost, on cree pour chacune ou bien on les rassemble?

ljere · Le 15/12/2013, à 12:30

http://www.php.net/manual/fr/ini.core.p … clude-path

alfirdaous · Le 16/12/2013, à 01:58

merci ljere, je vais voir la doc:

Et si on veut proteger plusieurs repertoires par le code de directiry vhost, on cree pour chacune ou bien on les rassemble?

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 12/12/2013, à 13:49

Securiser les fichier PHP dans un dossier

#2 Le 12/12/2013, à 14:41

Re : Securiser les fichier PHP dans un dossier

#3 Le 12/12/2013, à 14:52

Re : Securiser les fichier PHP dans un dossier

#4 Le 12/12/2013, à 15:03

Re : Securiser les fichier PHP dans un dossier

#5 Le 12/12/2013, à 15:17

Re : Securiser les fichier PHP dans un dossier

#6 Le 12/12/2013, à 15:31

Re : Securiser les fichier PHP dans un dossier

#7 Le 13/12/2013, à 00:41

Re : Securiser les fichier PHP dans un dossier

#8 Le 13/12/2013, à 03:50

Re : Securiser les fichier PHP dans un dossier

#9 Le 13/12/2013, à 09:15

Re : Securiser les fichier PHP dans un dossier

#10 Le 13/12/2013, à 09:56

Re : Securiser les fichier PHP dans un dossier

#11 Le 13/12/2013, à 16:32

Re : Securiser les fichier PHP dans un dossier

#12 Le 13/12/2013, à 17:08

Re : Securiser les fichier PHP dans un dossier

#13 Le 13/12/2013, à 20:36

Re : Securiser les fichier PHP dans un dossier

#14 Le 13/12/2013, à 21:42

Re : Securiser les fichier PHP dans un dossier

#15 Le 14/12/2013, à 03:45

Re : Securiser les fichier PHP dans un dossier

#16 Le 15/12/2013, à 10:30

Re : Securiser les fichier PHP dans un dossier

#17 Le 15/12/2013, à 10:57

Re : Securiser les fichier PHP dans un dossier

#18 Le 15/12/2013, à 11:04

Re : Securiser les fichier PHP dans un dossier

#19 Le 15/12/2013, à 11:42

Re : Securiser les fichier PHP dans un dossier

#20 Le 15/12/2013, à 12:23

Re : Securiser les fichier PHP dans un dossier

#21 Le 15/12/2013, à 12:30

Re : Securiser les fichier PHP dans un dossier

#22 Le 16/12/2013, à 01:58

Re : Securiser les fichier PHP dans un dossier

Pied de page des forums