IPB

Bienvenue invité ( Connexion | Inscription )

> les dangers de l'include PHP, pour un débutant
Options
Hyp
posté 24 Oct 2006, 22:29
Message #1


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 6 172
Inscrit : 7 May 2005
Membre no 38 651


Ce message a été modifié par Hyp - 12 May 2010, 11:51.
Go to the top of the page
 
+Quote Post
 
 Start new topic
Réponse(s)
Master Buck
posté 6 Dec 2006, 12:33
Message #2


Macbidouilleur d'argent !
***

Groupe : Membres
Messages : 564
Inscrit : 2 Apr 2005
Lieu : Hell
Membre no 36 398
En gros ce que tout le monde dit de façon assez floue, c'est :

-inclure une variable, c'est dangereux.
-inclure un lien absolu, c'est inclure du HTML, donc pas possibilité d'utiliser le code qui vient de la page inclue.
-inclure un chemin relatif (ou FTP), c'est bien, pratique, et sécurisé.


--------------------
Membre du club des AIPBP (Anciens Inscrits Pas Beaucoup de Posts) Voir la liste
~ ~
Go to the top of the page
 
+Quote Post
marc_os
posté 6 Dec 2006, 14:05
Message #3


Macbidouilleur d'Or !
*****

Groupe : Membres
Messages : 6 493
Inscrit : 21 Apr 2006
Membre no 59 799
CITATION(Master Buck @ 6 Dec 2006, 12:33) [snapback]2009353[/snapback]

En gros ce que tout le monde dit de façon assez floue, c'est :

-inclure une variable, c'est dangereux.
-inclure un lien absolu, c'est inclure du HTML, donc pas possibilité d'utiliser le code qui vient de la page inclue.
-inclure un chemin relatif (ou FTP), c'est bien, pratique, et sécurisé.

Non:
Ce qui est dangereux, c'est : include($page); où $page n'est pas défini explicitement dans le code qui précède, mais dont la valeur est définie par un choix de l'internaute qui peut alors faire inclure n'importe quoi.
De manière plus générale, ce qui est dangereux c'est d'inclure un fichier dont on n'est pas sûr. Via un include($page), ou via un include vers un fichier sur un serveur "étranger", càd dont on ne maîtrise pas le contenu.
Utiliser des chemins relatifs ou absolus, ce n'est pas le danger en soi. On peut très bien se retrouver dans une situation "dangereuse", avec des chemins relatifs, si on pointe sur un fichier dans un dossier publique où n'importe qui peut mettre n'importe quoi !

Enfin, comme je l'ai rappelé plus haut, dans tous les cas le code du fichier inclus est "exécuté".
S'il s'agit de code HTML, celui-ci sera affiché.
S'il s'agit de code php, les définitions de fonctions seront parsées et ces fonctions seront disponibles au code php qui suit l'include, et tout code "au premier plan" sera exécuté, et les echo et autres print provoqueront un affichage dans le navigateur du client.

Ce message a été modifié par marc_os - 6 Dec 2006, 14:06.


--------------------
-----------------
--JE-------SUIS--
--AHMED-CHARLIE--
--CLARISSA-YOAV--
-----------------
Go to the top of the page
 
+Quote Post

Les messages de ce sujet
- Hyp   les dangers de l'include PHP   24 Oct 2006, 22:29
- - No6   Vieux probleme largement expliqué un peu partout ...   24 Oct 2006, 22:41
|- - Grognon   CITATION(No6 @ 24 Oct 2006, 22:41) 194733...   5 Dec 2006, 11:58
|- - schlum   CITATION(Grognon @ 5 Dec 2006, 11:58) 200...   5 Dec 2006, 12:03
|- - Grognon   CITATION(Grognon @ 5 Dec 2006, 11:58) 200...   5 Dec 2006, 12:14
|- - schlum   CITATION(Grognon @ 5 Dec 2006, 12:14) 200...   5 Dec 2006, 12:19
|- - Grognon   CITATION(schlum @ 5 Dec 2006, 12:19) 2007...   5 Dec 2006, 12:27
- - Hyp   Merci pour cette explication concise No6 J'i...   24 Oct 2006, 22:48
- - No6   Je me sens tout guilleret, j'ai l'impressi...   24 Oct 2006, 22:59
- - Hyp   RE: les dangers de l'include PHP   24 Oct 2006, 23:03
- - No6   Nous sommes tous obligés les uns envers les autre...   24 Oct 2006, 23:11
- - hubeert   coucou; d'une maniere générale ( même si je...   25 Oct 2006, 07:45
- - schlum   En général on active pas "register_globals...   25 Oct 2006, 09:29
- - hubeert   autre danger moins connu.. faire attention au ext...   25 Oct 2006, 10:30
- - canari   pour monfichierouilyamescodes.inc, autant faire un...   8 Nov 2006, 01:55
- - No6   CITATION(canari @ 8 Nov 2006, 01:55) 1969...   8 Nov 2006, 02:07
|- - canari   CITATION(No6 @ 8 Nov 2006, 02:07) 1969451...   8 Nov 2006, 02:26
- - DUX   le .inc pour les fichiers à inclure, c'est la...   8 Nov 2006, 17:50
- - Hyp   RE: les dangers de l'include PHP   16 Nov 2006, 13:33
|- - Hyp   CITATION(schlum @ 16 Nov 2006, 14:13) 198...   16 Nov 2006, 14:16
- - schlum   Euh... "include" c'est pour inclure ...   16 Nov 2006, 14:13
- - schlum   Ben justement, faut pas faire de "include(...   16 Nov 2006, 14:36
- - No6   CITATION(Hyp @ 16 Nov 2006, 13:33) 198269...   16 Nov 2006, 16:45
|- - Hyp   RE: les dangers de l'include PHP   16 Nov 2006, 19:20
- - Master Buck   Oui ou plus simplement, il faut vérifier l'ex...   16 Nov 2006, 20:11
|- - schlum   CITATION(Master Buck @ 16 Nov 2006, 20:11...   16 Nov 2006, 21:53
- - Hyp   RE: les dangers de l'include PHP   16 Nov 2006, 20:30
- - Master Buck   Euh, en toute logique, si le PHP est dans un fichi...   17 Nov 2006, 18:36
|- - schlum   CITATION(Master Buck @ 17 Nov 2006, 18:36...   17 Nov 2006, 23:09
|- - ghost-X   CITATION(Master Buck @ 17 Nov 2006, 18:36...   18 Nov 2006, 01:28
- - Master Buck   Ha ouaip, ok, je vais faire gaffe maintenant, je s...   18 Nov 2006, 11:20
- - schlum   D'ailleurs, je dis des bêtises ! À mon a...   5 Dec 2006, 12:29
|- - marc_os   CITATION(schlum @ 5 Dec 2006, 12:29) 2007...   5 Dec 2006, 17:58
- - Master Buck   En gros ce que tout le monde dit de façon assez f...   6 Dec 2006, 12:33
|- - marc_os   CITATION(Master Buck @ 6 Dec 2006, 12:33)...   6 Dec 2006, 14:05
- - Grognon   J'ai finalement opté pour require_once en che...   6 Dec 2006, 14:10
- - hubeert   que tu utilises require_once ou include_once ne va...   6 Dec 2006, 23:50
|- - Grognon   CITATION(hubeert @ 6 Dec 2006, 23:50) 201...   7 Dec 2006, 02:00
|- - marc_os   CITATION(Grognon @ 7 Dec 2006, 02:00) 201...   7 Dec 2006, 11:36
- - Grognon   Plus qu'une question de temps (même si j...   7 Dec 2006, 12:09
- - Hyp   RE: les dangers de l'include PHP   16 Jan 2007, 21:37
- - schlum   Non, ça ne fonctionne pas si le serveur est corre...   16 Jan 2007, 22:18
- - Hyp   Merci   16 Jan 2007, 22:21
- - Hyp   RE: les dangers de l'include PHP   10 Jun 2007, 07:27
|- - Vin's   CITATION(Hyp @ 10 Jun 2007, 08:27) 223918...   10 Jun 2007, 10:36
- - hubeert   coucou; que veux tu dire par "mes include s...   10 Jun 2007, 10:45
- - Master Buck   Qu'il ne passe pas de paramètres qui viennent...   10 Jun 2007, 11:50
|- - Hyp   RE: les dangers de l'include PHP   10 Jun 2007, 17:37
- - canari   au lieu de addslashes, il est préférable d'u...   10 Jun 2007, 15:05
- - Master Buck   Ça existe, ça, des gens qui n'utilisent pas ...   10 Jun 2007, 19:39
|- - Hyp   RE: les dangers de l'include PHP   10 Jun 2007, 20:07
|- - Hyp   RE: les dangers de l'include PHP   13 Jul 2007, 15:16
- - schlum   Ca dépend comment tu gères ton système de fichi...   13 Jul 2007, 15:23
- - Hyp   RE: les dangers de l'include PHP   13 Jul 2007, 15:32
- - sky   MySQL permet de ne pas avoir de soucis en cas d...   13 Jul 2007, 15:38
- - schlum   Non non, faire une connexion à une base de donné...   13 Jul 2007, 16:23
|- - sky   CITATION(schlum @ 13 Jul 2007, 15:23) 227...   13 Jul 2007, 17:40
|- - Hyp   RE: les dangers de l'include PHP   13 Jul 2007, 17:48
- - sky   A mon avis, la diff en perf doit etre negligeable....   13 Jul 2007, 18:44

« Sujets plus anciens · Les Langages Du Web · Sujets plus récents »
 

Reply to this topicStart new topic
1 utilisateur(s) sur ce sujet (1 invité(s) et 0 utilisateur(s) anonyme(s))
0 membre(s) :

 

Modes d'affichage: Passer au mode : Standard · Passer au mode : Linéaire+ · Arborescent

Suivre ce sujet · Envoyer ce sujet · Imprimer ce sujet · S'abonner à ce forum

Nous sommes le : 5th April 2026 - 19:05
Powered By IP.Board 2.3.6 © 2026  IPS, Inc.