Code Php ... peut-on le récupérer ?

[kjmfr]

Bonjour à tous,

Je me suis poser la question suivante : un internaute peut-il récupérer le code Php d'une pagede mon site ou ne dispose-t-il d'aucun moyen pour voir le code Php ?

Merci de votre réponse ... @ Bientôt

[Findel]

En théorie, et à condition que le serveur soit bien paramétré, l'internaute ne peut pas voir le code PHP.

En effet, les fichiers PHP sont d'abord traités par Apache+PHP avant d'être envoyé au visiteur.

Ceci dit, attention, notamment sur les fichiers "inclus", à conserver une extension .php. J'ai déjà vu des problèmes se poser à un webmaster qui nommait ses fichiers en .inc, extension non traitée par son serveur web, et qui du coup pouvait être visualisés en les interrogeant directement.

[destroyedlolo]

Ceci dit, attention, notamment sur les fichiers "inclus", à conserver une extension .php. J'ai déjà vu des problèmes se poser à un webmaster qui nommait ses fichiers en .inc, extension non traitée par son serveur web, et qui du coup pouvait être visualisés en les interrogeant directement.

C'est pour ca que mes fichiers .inc se trouvent toujours en dehors de l'arborescence servie par le serveur web.

[iNCiTE Web]

Oui moi toujours dans un dossier protégé par "deny from all" dans un .htaccess, et ont l'extension .inc.php

Le seul cas où quelqu'un pourrait chopper, c'est si y'a un problème de configuration et que les fichiers php seraient pas parsés...

[kjmfr]

Merci à tous pour vos réponses

Me voilà rassuré !

Mais si c'est un grand penseur et qu'il essaye de récupérer les fichiers par un autre protocole que internet ... existe-t-il un moyen contre lequel il faudrait trouver une parade ?

Par exemple par protocole FTP on peut récupérer les fichiers avec le code PHP ... heuresement le protocole FTP est sécurisé par User:Pass. Est-ce sur qu'il n'y a pas un autre protocole ou je ne sais quoi qui permette avec des résultats similaires à FTP (mais sans user:pass) de passer outre l'intervention du serveur et ainsi de récupérer les codes "brut" ?

Merci pour vos réponses

Modifié 24 Mai 2007 par kjmfr

[Dudu]

Salut

Mais si c'est un grand penseur et qu'il essaye de récupérer les fichiers par un autre protocole que internet ... existe-t-il un moyen contre lequel il faudrait trouver une parade ?

Par exemple par protocole FTP on peut récupérer les fichiers avec le code PHP ... heuresement le protocole FTP est sécurisé par User:Pass. Est-ce sur qu'il n'y a pas un autre protocole ou je ne sais quoi qui permette avec des résultats similaires à FTP (mais sans user:pass) de passer outre l'intervention du serveur et ainsi de récupérer les codes "brut" ?

La réponse est simple: non.

Mais puisque tu as l'air de te soucier de ta sécurité, quelques conseils en vrac:

• choisis un vrai mot de passe pour ton FTP. Le nom de ton animal de compagnie, ta date de naissance, un mot courant présent dans le dictionnaire NE SONT PAS des mots de passe. Un vrai mot de passe est constitué de chiffres, de lettres minuscules et majuscules, et de caractères spéciaux (tiret, underscore, etc.).
  
• Place tes includes sensibles en dehors de la zone d'accès web ("au-dessus" du répertoire www)
  
• Si tu ne peux pas, vérifies tout de même qu'ils ont l'extension .php
  
• En cas de problème de parseur PHP (par exemple si PHP est désactivé), ton code PHP apparaitra brut dans le navigateur. Fais en sorte de ne placer rien de compromettant dans ces fichiers. Les choses compromettantes pour ta sécurité doivent être placées dans les fichiers include dont je parle ci-dessus.
  
• Blinde ton accès à la base dans tes scripts. Qu'on ne puisse pas écrire de l'HTML, du SQL, ou autre langage via un formulaire ou via un paramètre dans une URL.
  

En prenant déjà ça en compte, tu devrais être tranquille pendant un moment

[kjmfr]

Merci pour tous ces conseils

Mais je ne suis pas un super pro de la sécurité Php alors je ne sais pas si dans mes codes il n'y a pas des petites failles ... enfin je pense que c'est bon.

Modifié 26 Mai 2007 par captain_torche