htaccess sur un repertoire et tous ses fichiers

htaccess sur un repertoire et tous ses fichiers - PHP - Programmation

Marsh Posté le 07-10-2004 à 02:01:31    

bonjour
j'aimerais intedire l'acces a un repertoire mais auusi tous ses fichiers.
cad qu'actuellement j'ai un fichier .htaccess avec dedans "deny from all"  
donc si le "hacker" fait www.monsite/mon_repertoire/
l'acces lui est refusé
mais si il trouve par hazard une des pages dans ce repertoire
il fait www.monsite/mon_repertoire/page_trouve.php
alors il peut lire cette page
(le repertoire ne contient que des fonctions appelés par les pages principales de mon site donc tout peut etre bloqué)
 
merci


Message édité par attentio le 24-03-2005 à 21:08:17

---------------
L'ordinateur a de la mémoire mais aucun souvenir ...
Reply

Marsh Posté le 07-10-2004 à 02:01:31   

Reply

Marsh Posté le 07-10-2004 à 09:11:59    

avec deny from all dans ton répertoire, si tu appels un fichier tu n'y a pas accès!
mais je vois vraiment pas pourquoi tu veux faire ça? pour protéger tes fonctions? pas une bonne idée ... car si tu les tapes dans ce répertoire, lorsque le client charge une page qui nécessite une de ces fonctions il aura une jolie error 403 ;)
 
--> d'autant qu'il n'y a pas vraiment raison de s'inquièter ... pour que tes sources soit visible il faudrai que PHP plante et ça c'est peu probable

Reply

Marsh Posté le 07-10-2004 à 09:22:17    

En bloquant l'accès à tous sauf pour le local tu pourras faire des includes mais personne ne pourra acceder directement aux fichiers de ton répertoire ...

Reply

Marsh Posté le 07-10-2004 à 11:54:50    

... oui C exactement ce que je veux : bloquer l'acces aux pages de ce repertoires, mais y avoir acces via mon ftp mais qu'elle soit quant meme visibles ( sans erreur 403) grace qux includes des pages generales ( qui sont elles dans un autre repertoire).
merci

Reply

Marsh Posté le 07-10-2004 à 12:08:41    

order allow,deny  
deny from all  
allow from localhost
 
ça devrait faire l'affaire ...
 

Reply

Marsh Posté le 07-10-2004 à 16:25:54    

Normalement meme avec un htaccess ne contenant que la ligne deny from all les inclusions sont toujours possibles depuis un autre script php, de meme que la lecture.
 
Dans quel cas allow from localhost devient-il utile ?
Quand je fais ca ?  
 

Code :
  1. include('http://monsite.com/monphp.php');


---------------
Loose Change Lies | Bars | Last.fm
Reply

Marsh Posté le 07-10-2004 à 16:41:12    

KrisCool a écrit :

Normalement meme avec un htaccess ne contenant que la ligne deny from all les inclusions sont toujours possibles depuis un autre script php, de meme que la lecture.
 
Dans quel cas allow from localhost devient-il utile ?
Quand je fais ca ?  
 

Code :
  1. include('http://monsite.com/monphp.php');




tu te trompes ... inclure un fichier qui est dans un folder avec un deny from all ca ne marche pas
 
quant à allow from localhost chez moi ça marche pas (pas testé en local)

Reply

Marsh Posté le 08-10-2004 à 10:00:59    

ç fonctionne sur un de mes serveurs je n'ai pas cherché beaucou^p plus loin mais si ça ne fonctionne pas chez toi ça doit venir d'une configuration de ton localhost justement ... mais n'importe qu'elle IP est acceptable ici.

Reply

Marsh Posté le 08-10-2004 à 10:41:45    

zbang a écrit :

tu te trompes ... inclure un fichier qui est dans un folder avec un deny from all ca ne marche pas
 
quant à allow from localhost chez moi ça marche pas (pas testé en local)

T'as testé avant de dire ça ?
 
Parce que les fonctions include, require... passe par le système de fichier et pas par HTTP pour inclure le fichier, donc pas de pb si y a un htaccess avec un deny from all dans ce répertoire (c'est meme l'interet).


---------------
Mon blog
Reply

Marsh Posté le 08-10-2004 à 10:53:06    

ratibus a écrit :

T'as testé avant de dire ça ?


 
oui et en ligne

Reply

Marsh Posté le 08-10-2004 à 10:53:06   

Reply

Marsh Posté le 08-10-2004 à 11:32:10    

perso, je suis chez OVH pour mon asso, la page d'administration est dans une répertoire protéger par .htaccess et .htpwrd.
Cette page je la fait ouvrir dans une nouvelle fenetre, paske si je passai par le include comme pour le reste du site (système en pseudo-frame), et bien je n'avais pas à m'identifier, la page était ouverte sans les controle d'accès, et n'importe qui ayant l'URL qui va bien pouvait y accéder...
 
mon fichier .htaccess est de la forme:

Code :
  1. AuthUserFile /---chemin vers le .htpaswd
  2. AuthGroupFile /dev/null
  3. AuthName "Accès Reservé aux Administrateurs"
  4. AuthType Basic
  5. <Limit GET POST>
  6. require valid-user
  7. </Limit>



---------------
- Xav - ...There are no crimes when there are no laws... -- Xav's World
Reply

Marsh Posté le 08-10-2004 à 13:45:17    

zbang a écrit :

oui et en ligne

Excuse moi j'avais pas vu que tu faisais un include par http.
Faut jamais faire ça mais inclure des fichiers locaux, par le système de fichier.


---------------
Mon blog
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed