Bonjour,
Je désire protéger des répertoires qui sont accessibles sur le web.
C'est à dire qu'on ne puisse pas lancer du code php à l'intérieur de ceux-ci.
Cela me sert généralement pour les comptes ftp ou des programmes php
qui font des uploads sur ces répertoires qui dans 100% des cas ne servent
que pour mettre des documents et des images sur le serveur.
Dans le cas ou un compte ftp est détourné je ne veut pas qu'on puisse uploader
du php pour l'exécuter et faire ainsi des dégâts...
Je sais que je peut faire des "rewriterules", je les ai même déjà faits et ça marche plutôt
bien. Mais le gros problème est que les .htaccess ne sont pas cumulatifs.
Si je mets mes règles de protection dans mon httpd.conf et que sur un de ces répertoires
que je veut protéger on insère un .htaccess, mes protections sautent. Et je ne veut pas les
interdire, le htaccess.
Avez vous des réflexions sur le sujet ?
Merci
PS : Je voudrais aussi votre avis pour aller plus loin au niveau des protections
de ces répertoires ; en supposant que l'on puisse uploader des scripts (pl, sh, etc)
est-il trivial de les lancer ? ou le fait d'empêcher l'exécution du php qui servirait pour
les lancer est suffisant ?
Version complète: sur le forum Webmaster Hub : Sécurité et apache
il suffit, dans le script d'upload, d'interdire les extensions php, et autres extensions déclarées exécutables par ton serveur.
Pour les photos de vérifier que c'est vraiment une photo, avec les fonctions php adéquates.
Pour les photos de vérifier que c'est vraiment une photo, avec les fonctions php adéquates.
Salut,
oui mais j'ai aussi des comptes ftp et c'est ceux la que je vais surtout proteger contre l'execution ...
meci
oui mais j'ai aussi des comptes ftp et c'est ceux la que je vais surtout proteger contre l'execution ...
meci
il suffit dans ce cas d'interdire l'exécution dans les droits du répertoire pour les groupes et les permissions publiques
Salut,
comment le fait de modifier les droits du repertoire que je veut proteger permet d'empecher a apache d'executer une page php ?
car je veux quand meme que apache puisse lire dedans (pour afficher des images par ex), qu'il puisse aussi mettre des documents dedans et enfin
que un compte ftp puisse mettre aussi des documents...
Merci
comment le fait de modifier les droits du repertoire que je veut proteger permet d'empecher a apache d'executer une page php ?
car je veux quand meme que apache puisse lire dedans (pour afficher des images par ex), qu'il puisse aussi mettre des documents dedans et enfin
que un compte ftp puisse mettre aussi des documents...
Merci
Si tu donne un accès ftp à une personne,je vois mal comment tu peu interdire l'upload de fichier .php 
Même si tu interdit l'extension .php il est très simple de faire un fichier .php.txt
Même si tu interdit l'extension .php il est très simple de faire un fichier .php.txt
Donc si j'ai compris il y a pas de solution ?
Est-ce une problematique ilogique ?
MErci
Est-ce une problematique ilogique ?
MErci
A partir du moment ou tu autorise un accés ftp il n'est pas possible à ma connaissance de vérifier les extensions des fichier uppé.
La solution serait par exemple de mettre en place un systéme d'upload en php par exemple,qui te permet de faire des contrôle sur la nature des fichiers uppé.
La solution serait par exemple de mettre en place un systéme d'upload en php par exemple,qui te permet de faire des contrôle sur la nature des fichiers uppé.
CITATION(K-Ola @ mardi 20 février 2007, 19h29) 
A partir du moment ou tu autorise un accés ftp il n'est pas possible à ma connaissance de vérifier les extensions des fichier uppé.
La solution serait par exemple de mettre en place un systéme d'upload en php par exemple,qui te permet de faire des contrôle sur la nature des fichiers uppé.
La solution serait par exemple de mettre en place un systéme d'upload en php par exemple,qui te permet de faire des contrôle sur la nature des fichiers uppé.
Totalement d'accord
C'est exact zagadka il n'y a pas de solution si les utilisateurs ont un accès FTP
Ceci est une version "bas débit" de notre forum. Pour voir la version complète avec plus d'information, la mise en page et les images, veuillez cliquer ici.