les dangers de l'include PHP - Forums MacBidouille

les dangers de l'include PHP, pour un débutant

Hyp Voir le profil	24 Oct 2006, 22:29 Message #1
Macbidouilleur d'Or ! Groupe : Membres Messages : 6 172 Inscrit : 7 May 2005 Membre n^o 38 651	Ce message a été modifié par Hyp - 12 May 2010, 11:51.

Réponse(s)

hubeert Voir le profil	6 Dec 2006, 23:50 Message #2
Macbidouilleur de vermeil ! Groupe : Membres Messages : 983 Inscrit : 19 May 2005 Lieu : Chateauneuf du pape Membre n^o 39 495	que tu utilises require_once ou include_once ne vas pas changer grand chose au niveau sécurité si cest ce que tu recherches ; il faut simplement verifier que ce que tu inclus ou requiers sois reellement ce que tu veux inclure ou que tu requieres.. chemin absolu ou chemin ou chemin relatif ne change rien pour la personne qui tape dans le navigateur (meme si cest au hasard) la bonne adresse telle que le decrit Schlum..faut juste verifier que ce soit ce que toi tu veux inclure qui est inclu..sinon est bien tu reviens a la page index par exemple . rien de plus pour l'include. le reste de la sécurité web releve quand meme bien souvent que du bon sens. CITATION Enfin, comme je l'ai rappelé plus haut, dans tous les cas le code du fichier inclus est "exécuté". justement faut pas qu'il soit inclu c'est donc ce qu'il faut faire.. et pour ce faire pas bcp de solution.. autre que verifier que ce c'est le bon include qui arrive tout autre est rejeté.. et mefiez vous des fichiers .bak.. que certain editeurs rajoutent pour sauvegarder.. en tout etat de cause en cas d'attaque serieuse la meilleures solution est encore d'avoir des sauvegardes a jours.. eviter l'inclusion de fichiers de programme distant.. et eviter les injection SQL.. bref c'est tout un binzzzz bref tout un programme.. -------------------- Musique techno avec MAO (Logic Pro) des que quelqu'un a du pouvoir il croit détenir la vérité... Des que quelqu'un a un clavier il A la la vérité.(Forcément)

Grognon Voir le profil	7 Dec 2006, 02:00 Message #3
Gumby Berrichon Groupe : Modérateurs Messages : 15 372 Inscrit : 5 Dec 2002 Membre n^o 5 011	CITATION(hubeert @ 6 Dec 2006, 23:50) [snapback]2010464[/snapback] que tu utilises require_once ou include_once ne vas pas changer grand chose au niveau sécurité si cest ce que tu recherches ; il faut simplement verifier que ce que tu inclus ou requiers sois reellement ce que tu veux inclure ou que tu requieres.. chemin absolu ou chemin ou chemin relatif ne change rien pour la personne qui tape dans le navigateur (meme si cest au hasard) la bonne adresse telle que le decrit Schlum..faut juste verifier que ce soit ce que toi tu veux inclure qui est inclu..sinon est bien tu reviens a la page index par exemple . rien de plus pour l'include. le reste de la sécurité web releve quand meme bien souvent que du bon sens. Oula, pour ma part, je me contente déjà que ça fonctionne ; la sécurité vient loin derrière J'ai juste remarqué que quand c'était include, ça ne fonctionnait pas et que quand c'était require ça fonctionnait

marc_os Voir le profil Voir les albums	7 Dec 2006, 11:36 Message #4
Macbidouilleur d'Or ! Groupe : Membres Messages : 6 493 Inscrit : 21 Apr 2006 Membre n^o 59 799	CITATION(Grognon @ 7 Dec 2006, 02:00) [snapback]2010561[/snapback] Oula, pour ma part, je me contente déjà que ça fonctionne ; la sécurité vient loin derrière Mais si tu as le temps, ça vaut le coup d'en profiter pour chercher à comprendre les subtilités du langage ! Un jour tu seras bien content d'avoir profité utilement du moment où tu avais le temps. Et même s'il y a la pression quand on doit livrer, cinq minutes de "perdues" à comprendre à un moment donné peuvent faire gagner des heures de débogage vraiment perdues par la suite ! CITATION(Grognon @ 7 Dec 2006, 02:00) [snapback]2010561[/snapback] J'ai juste remarqué que quand c'était include, ça ne fonctionnait pas et que quand c'était require ça fonctionnait Encore et toujours, lire la documentation! CITATION require() et include() sont identiques, sauf dans leur façon de gérer les erreurs. include() produit une Alerte (warning) tandis que require() génère une erreur fatale. A noter aussi: les deux fonctions existent en deux variantes: la "normale", include() ou require() et la version "_once" : include_once() ou require_once(). Ces dernières assurent qu'un fichier inclus n'est inclus qu'une seule fois. Le fait de remplacer include par require pour que ça marche est étonnant, car require est plus restrictif que include ! A mon avis, tu n'as probablement pas fait que cette modification entre le moment "ça ne marche pas" et celui où "ça marche". Par exemple, tu as peut-être utilisé la version "_once" et évité ainsi une double inclusion ? Ce message a été modifié par marc_os - 7 Dec 2006, 11:40. -------------------- ----------------- --JE-------SUIS-- --AHMED-CHARLIE-- --CLARISSA-YOAV-- -----------------

Les messages de ce sujet

Hyp les dangers de l'include PHP 24 Oct 2006, 22:29

No6 Vieux probleme largement expliqué un peu partout ... 24 Oct 2006, 22:41

Grognon CITATION(No6 @ 24 Oct 2006, 22:41) 194733... 5 Dec 2006, 11:58

schlum CITATION(Grognon @ 5 Dec 2006, 11:58) 200... 5 Dec 2006, 12:03

Grognon CITATION(Grognon @ 5 Dec 2006, 11:58) 200... 5 Dec 2006, 12:14

schlum CITATION(Grognon @ 5 Dec 2006, 12:14) 200... 5 Dec 2006, 12:19

Grognon CITATION(schlum @ 5 Dec 2006, 12:19) 2007... 5 Dec 2006, 12:27

Hyp Merci pour cette explication concise No6 J'i... 24 Oct 2006, 22:48

No6 Je me sens tout guilleret, j'ai l'impressi... 24 Oct 2006, 22:59

Hyp RE: les dangers de l'include PHP 24 Oct 2006, 23:03

No6 Nous sommes tous obligés les uns envers les autre... 24 Oct 2006, 23:11

hubeert coucou; d'une maniere générale ( même si je... 25 Oct 2006, 07:45

schlum En général on active pas "register_globals... 25 Oct 2006, 09:29

hubeert autre danger moins connu.. faire attention au ext... 25 Oct 2006, 10:30

canari pour monfichierouilyamescodes.inc, autant faire un... 8 Nov 2006, 01:55

No6 CITATION(canari @ 8 Nov 2006, 01:55) 1969... 8 Nov 2006, 02:07

canari CITATION(No6 @ 8 Nov 2006, 02:07) 1969451... 8 Nov 2006, 02:26

DUX le .inc pour les fichiers à inclure, c'est la... 8 Nov 2006, 17:50

Hyp RE: les dangers de l'include PHP 16 Nov 2006, 13:33

Hyp CITATION(schlum @ 16 Nov 2006, 14:13) 198... 16 Nov 2006, 14:16

schlum Euh... "include" c'est pour inclure ... 16 Nov 2006, 14:13

schlum Ben justement, faut pas faire de "include(... 16 Nov 2006, 14:36

No6 CITATION(Hyp @ 16 Nov 2006, 13:33) 198269... 16 Nov 2006, 16:45

Hyp RE: les dangers de l'include PHP 16 Nov 2006, 19:20

Master Buck Oui ou plus simplement, il faut vérifier l'ex... 16 Nov 2006, 20:11

schlum CITATION(Master Buck @ 16 Nov 2006, 20:11... 16 Nov 2006, 21:53

Hyp RE: les dangers de l'include PHP 16 Nov 2006, 20:30

Master Buck Euh, en toute logique, si le PHP est dans un fichi... 17 Nov 2006, 18:36

schlum CITATION(Master Buck @ 17 Nov 2006, 18:36... 17 Nov 2006, 23:09

ghost-X CITATION(Master Buck @ 17 Nov 2006, 18:36... 18 Nov 2006, 01:28

Master Buck Ha ouaip, ok, je vais faire gaffe maintenant, je s... 18 Nov 2006, 11:20

schlum D'ailleurs, je dis des bêtises ! À mon a... 5 Dec 2006, 12:29

marc_os CITATION(schlum @ 5 Dec 2006, 12:29) 2007... 5 Dec 2006, 17:58

Master Buck En gros ce que tout le monde dit de façon assez f... 6 Dec 2006, 12:33

marc_os CITATION(Master Buck @ 6 Dec 2006, 12:33)... 6 Dec 2006, 14:05

Grognon J'ai finalement opté pour require_once en che... 6 Dec 2006, 14:10

hubeert que tu utilises require_once ou include_once ne va... 6 Dec 2006, 23:50

Grognon CITATION(hubeert @ 6 Dec 2006, 23:50) 201... 7 Dec 2006, 02:00

marc_os CITATION(Grognon @ 7 Dec 2006, 02:00) 201... 7 Dec 2006, 11:36

Grognon Plus qu'une question de temps (même si j... 7 Dec 2006, 12:09

Hyp RE: les dangers de l'include PHP 16 Jan 2007, 21:37

schlum Non, ça ne fonctionne pas si le serveur est corre... 16 Jan 2007, 22:18

Hyp Merci 16 Jan 2007, 22:21

Hyp RE: les dangers de l'include PHP 10 Jun 2007, 07:27

Vin's CITATION(Hyp @ 10 Jun 2007, 08:27) 223918... 10 Jun 2007, 10:36

hubeert coucou; que veux tu dire par "mes include s... 10 Jun 2007, 10:45

Master Buck Qu'il ne passe pas de paramètres qui viennent... 10 Jun 2007, 11:50

Hyp RE: les dangers de l'include PHP 10 Jun 2007, 17:37

canari au lieu de addslashes, il est préférable d'u... 10 Jun 2007, 15:05

Master Buck Ça existe, ça, des gens qui n'utilisent pas ... 10 Jun 2007, 19:39

Hyp RE: les dangers de l'include PHP 10 Jun 2007, 20:07

Hyp RE: les dangers de l'include PHP 13 Jul 2007, 15:16

schlum Ca dépend comment tu gères ton système de fichi... 13 Jul 2007, 15:23

Hyp RE: les dangers de l'include PHP 13 Jul 2007, 15:32

sky MySQL permet de ne pas avoir de soucis en cas d... 13 Jul 2007, 15:38

schlum Non non, faire une connexion à une base de donné... 13 Jul 2007, 16:23

sky CITATION(schlum @ 13 Jul 2007, 15:23) 227... 13 Jul 2007, 17:40

Hyp RE: les dangers de l'include PHP 13 Jul 2007, 17:48

sky A mon avis, la diff en perf doit etre negligeable.... 13 Jul 2007, 18:44

« Sujets plus anciens · Les Langages Du Web · Sujets plus récents »

2 utilisateur(s) sur ce sujet (2 invité(s) et 0 utilisateur(s) anonyme(s))

0 membre(s) :