Mon INCLUDE sécurisé ?

[rikiki]

Bonjour,

J'ai une page index.php dans laquel j'ai un tableau html dans lequel j'inclus 3 pages disposés comme suit:

menu-gauche :: centre du site :: menu droite

voici l'include de mon MENU-Gauche (sachant que les 2 autres Include sont sous la même forme):

<?

include("./mn/mngch.php");

$page = $page.".php";

if(file_exists($page))

include($page);

else

include("erreur404.php");

?>

D'un point de vu sécurité. Quand est il

J'aimerais une sécurité maximale, tout en conservant "la structure d'inclusion" dans mon tableau html.

nota: j'ai lut de nombreuses Doc à propos de l'Include MAIS la sécurité n'était jamais au rendez-vous. Parce que récemment un Virus se propageant via une faille d'inclusion-php, je vous pose la question. Et mon INCLUDE puis je le sécuriser ?

[Dan]

Salut Rikiki,

Pour limiter l'endroit où les fichiers à inclure sont recherchés, tu pourrais donner un chemin complet et faire quelques opérations sur la variable $page.

Dans le genre:

$page=basename($page);

et

include("/chemin/vers/ta/page/".$page.".php");

La fonction basename() permet d'éviter que $page comprenne un chamin complet du genre page=/etc/passwd vu qu'elle ne retournera que "passwd" qui n'existe pas dans le répertoire courant.

L'include force le chemin de l'inclusion en mettant un "full path" au début et en forçant une extension à la fin...

A mon avis cela devrait être suffisamment sécurisé.

Dan

[Portekoi]

Au cas où car déjà vu.

Suis les conseils de Dan concernant le chemin absolue vers ton fichier.

Ne fais surtout pas QUE forcer l'extension car la personne pourrais faire un truc du genre : page=http://www.monsite.com/mapage

Et là, ton script ferait : http://www.monsite.com/mapage.php

J'ai vue beaucoup de webmaster ce faire avoir

Bye

Portekoi