| Netophonix - Le forum https://forum.netophonix.com:443/ |
|
| La Faille Include https://forum.netophonix.com:443/viewtopic.php?f=22&t=248 |
Page 1 sur 3 |
| Auteur: | D@rk Hell [ Dim 11 Fév 2007, 00:07 ] |
| Sujet du message: | La Faille Include |
C'est dernier temp j'ai vu des site en php (de saga mp3 ou pas) qui uttilisait la fonction "include" tant connu... Mais pour bon nombre de webmaster, cette fonction est aussi associer a la faille "include". C'est pour sa que j'ai créer ce topic, pour prévenir les débutant en php de ne pas tomber dans le piege qui pourait ravir les Hackers. Exemple de faille include dans une page PHP: Code: $page = $_GET['page']; include($page.".php"); Dans ce cas, le nom du fichier est récupérer puis le fichiet php est inclus et le script est exécuter par le serveur.... L'URL du site serait alors quelque chose comme:
Mais imaginez qu'un internaute malveillant arrive sur votre site, et découvre que votre site comporte cette faille.... Il n'aurait plus qu'a ecrire ceci
voici un exemple de sécuriter que vous pouvez utiiser pour eviter cela: Code: $page = $_GET['page'];// On récupére le nom de la page
$securiter = array("test","test2"); //on fait un tableau des pages autoriser for($i=0; ;$i++){ //On créer une boucle de vérification if( $page == $securiter[$i])break; if(empty($securiter[$i])) exit("Hacking stoppé"); } include($page.".php"); //on inclus la page Avec ça, on est certain que aucune autres pages viendrons perturber le bon fonctionnement de votre site internet |
|
| Auteur: | Canard Bigleux [ Lun 12 Fév 2007, 17:47 ] |
| Sujet du message: | |
Merci de veiller à la sécurité de nos site webs ^^ |
|
| Auteur: | D@rk Hell [ Mar 27 Fév 2007, 22:49 ] |
| Sujet du message: | |
de rien... |
|
| Auteur: | Nishiki [ Sam 17 Mars 2007, 18:46 ] |
| Sujet du message: | |
Donc si j'ai bien compris tu entre tout les pages autorisé dans la bdd, et après tu vérifie la page demandé |
|
| Auteur: | Cekos [ Mar 03 Avr 2007, 18:53 ] |
| Sujet du message: | |
Je suis pas d'accord avec toi, a mon avis un bon vieux switch est plus efficace dans ce genre Code: $page = $_GET['page']
switch $page case "index": include('index.php'); break; case "forum": include('forum.php'); break; Ect ... Citer: Donc si j'ai bien compris tu entre tout les pages autorisé dans la bdd, et après tu vérifie la page demandé
Non pas dans la bdd, mais dans un array |
|
| Auteur: | Nishiki [ Mar 03 Avr 2007, 19:03 ] |
| Sujet du message: | |
Et ben moi je met tout dans la BDD ^^ |
|
| Auteur: | mike [ Dim 10 Juin 2007, 11:23 ] |
| Sujet du message: | |
Si leur script s'appelle forum.php vous êtes mort quoi ^^ Moi j'utilise la méthode barbare du site du zero |
|
| Auteur: | Nishiki [ Dim 10 Juin 2007, 11:33 ] |
| Sujet du message: | |
Mort non car comment veux-tu qu'il est mit dans ton ftp le meme fichier que toi ? Si il doivent appeler un fichier extérieur au site c'est sous la forme http://lalal.com/forum.php Donc aucun risque |
|
| Auteur: | karottes [ Jeu 16 Oct 2008, 20:36 ] |
| Sujet du message: | |
J'hésite entre dire que ça reviens à être atteint de paranoïa aiguë et dire que c'est primordial ... Sachant que la plupart des gens qui vont sur les sites de sagas mp3 sont : - soit des buses en informatique - soit des lammouzes - soit des programmeurs "propres" - soit des bonnes gens tout à fait sympathiques je ne voit pas trop l'intérêt de cette sécurité (malgré tout, plus un site est sécurisé, mieux c'est ...) Sinon, je te/vous remercie pour cette bienveillance 
|
|
| Auteur: | refiloux [ Lun 02 Mars 2009, 19:24 ] |
| Sujet du message: | |
Hmm La faille incluse 
C'est vrais que c'est pas térrible quand on ne veut pas se faire hacké . Après ceux qui veulent ce faire hacké ( Mazo ) Vous pouvez éssayé ceci, Faut mettre surtout vos compte banquaire pour plus de sensation ! Allez bonne journée ! XD LOL PTDR MDR ... 
[Edit Blast : ça faisait longtemps qu'on avait pas eu un petit boulet.] |
|
| Auteur: | Kak Miortvi Pengvin [ Lun 02 Mars 2009, 19:34 ] |
| Sujet du message: | |
Tu m'expliques l'intérêt de ce message? Ce que viennent faire là ces espèces de pseudos-smileys sms? Si c'est de l'humour, ce n'est ni fin ni drôle. Zéro intérêt, zéro contenu, orthographe minimale et sms... La prochaine fois, abstiens toi. Edition: Raaah... Grillé par Blast pour le bonnet. Tant pis, je lui ai fauché le message de modération. 
|
|
| Auteur: | Verdey [ Lun 02 Mars 2009, 19:35 ] |
| Sujet du message: | |
Alors rien que pour rigoler , j'ai essayé , et oui , c'est dangereux. Disons que j'ai réussi a supprimer la page via un script un peu trop bricolé. Cependant , je rejoins l'avis de Cekos , un bon vieux switch est efficace. Pour plus de renseignements : HackBBS = Exploit des Failles en PHP sur un site Web (Je ne suis aucunement responsable de ce que vous trouverez sur ce site) |
|
| Auteur: | Alinor [ Lun 02 Mars 2009, 20:25 ] |
| Sujet du message: | |
Bravo Dark, c'est simple et très compréhensible 
(pense tout de même à la relecture...) |
|
| Auteur: | Kak Miortvi Pengvin [ Lun 02 Mars 2009, 20:32 ] |
| Sujet du message: | |
Alinor, tu parles à un membre qui a posté il y a deux ans... |
|
| Auteur: | refiloux [ Lun 02 Mars 2009, 21:00 ] |
| Sujet du message: | |
Ah d'accord c'est pour ça le bonnet ! Message d'humour ... |
|
| Page 1 sur 3 | Le fuseau horaire est réglé sur UTC+1 heure [Heure d’été] |
| Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |
|