Bonjour
J'aurais besoin d'utiliser des includes pour une page internet en php mais on m'a dit que ce système <?php include "module.htm";?> n'était pas sur et qu'un pirate pourrais venir modifier ma page.
Qu'est ce que je dois modifier pour que cela soit sécurisé ?
Merci beaucoup
Tesla
Personnellement, je ne pense pas que les includes soient dangereux, car si s'etait le cas, cela fait longtemps que cela aurait été corrigé. En plus je ne vois pas en quoi cela permettrait à un pirate de modifier la page, tout est fait en interne, les includes ne dépendant pas de variables transmisent, mais sont théoriquement codés en 'dur'.
Par contre en PHP il faut faire attention aux tentatives de PHP injection et de SQL injection.
Pour eviter les PHP injection, il ne faut pas utiliser de choses dans ce genre la :
http://example.com/?page="./docs/coucou.php"
Pour les SQL injection : toujours écrire ses requetes avec un maximum de ' ' et des que un champ peut etre remplus par l'utilisateur, ajouter des caracteres d'échappement ( addslashes($string) )
Sinon, je sais qu'il y a des tutoriaux concernant la prog sécurisée sous PHP si tu t'y interresse, je peux essayer de retrouver mes liens.
Bonjour
Merci beaucoup Mouquiette pour ta réponse et ces éclaircissements.
Si tu retrouve facilement tes liens sur la prog sécurisé , j'aimerais y jeter un oeil.
Encore merci
@micalement
Tesla
Un "petit" Howto sur la programation sécurisée en général, avec les spécificités de chaque langage :
http://www.dwheeler.com/secure-progr...ams-HOWTO.html
Un mini résumé sur les principales erreurs à éviter en PHP (d'ailleur ce site est exellent pour apprendre/améliorer sa comprehension du PHP à tout niveau):
http://www.zend.com/zend/art/art-oertli.php
J'en avais un ou deux autres (en plus en francais) mais je ne les retrouves pas pour l'instant. J'essayerai de voir si je les retrouve ce WE.
Un grand merci Mouquiette !
Maintenant j'ai de quoi faire...
lut,
entierement d'accord avec Mouquiette!
Tu peux aussi utiliser la fonction require
et peut etre meme rajouter un _once valable pour require et include.
H.
