Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1735 connectés 

  FORUM HardWare.fr
  Programmation

  [Sécurité PHP] Y a quand même des Webmasters qui doutent de rien...

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

[Sécurité PHP] Y a quand même des Webmasters qui doutent de rien...

n°205491
format_c
Plouf plouf ...
Posté le 30-08-2002 à 11:39:49  profilanswer
 

J'ai fait un petit test ce matin, armé de Google (ptdr !) et en 15 minutes j'ai trouvé quand même 2 sites persos, 1 site Wa**z, et le site d'un éditeur de livre connu (faisant de la vente online même) vunérable à une simple recherche via google par non protection d'un fichier .inc ... autant dire une erreur de débutant.


Message édité par format_c le 30-08-2002 à 14:56:02

---------------
Mes guitares, ampli, et effets sont en vente !
mood
Publicité
Posté le 30-08-2002 à 11:39:49  profilanswer
 

n°205497
ethernal
Chercheur de vérité...
Posté le 30-08-2002 à 11:49:59  profilanswer
 

ce forum a aussi des .inc, mais ce sont des fichiers de configs, donc aucun problème...
 
Faut voir le contenu des fichiers que tu as trouvé


---------------
...oups kernel error...
n°205501
format_c
Plouf plouf ...
Posté le 30-08-2002 à 11:56:03  profilanswer
 

ethernal a écrit a écrit :

ce forum a aussi des .inc, mais ce sont des fichiers de configs, donc aucun problème...
 
Faut voir le contenu des fichiers que tu as trouvé




Tous les users name, mot de passe, nom de db
Rien que ça :D


---------------
Mes guitares, ampli, et effets sont en vente !
n°205505
ethernal
Chercheur de vérité...
Posté le 30-08-2002 à 11:57:43  profilanswer
 

ha la évidemment respect !!  ;)
:lol:


---------------
...oups kernel error...
n°205507
format_c
Plouf plouf ...
Posté le 30-08-2002 à 11:59:15  profilanswer
 

ethernal a écrit a écrit :

ha la évidemment respect !!  ;)
:lol:  




Mais le top ça reste le webmaster de l'Editeur de livres qui laisse tous ses scripts commentés dans des fichiers .inc :D
J'hésite à lui écrire mais après ce qui est arrivé à Kitetoa je préfère les laisser dans leur merde  :kaola:


---------------
Mes guitares, ampli, et effets sont en vente !
n°205560
format_c
Plouf plouf ...
Posté le 30-08-2002 à 13:21:53  profilanswer
 

Je viens de trouver un winner all catégories : Une entreprise de sécurité informatique !!!
PTDR  :lol:


---------------
Mes guitares, ampli, et effets sont en vente !
n°205577
Je@nb
Kindly give dime
Posté le 30-08-2002 à 13:39:11  profilanswer
 

Il i a qq temps, on en avait parlé
ct le site de Le monde ou, un autre journal fr, où ou voyait les pass des db

n°205581
format_c
Plouf plouf ...
Posté le 30-08-2002 à 13:41:40  profilanswer
 

C qd même dingues que des "professionnels" soient pas foutus de bien configurer leur serveur ou à défaut leur site !  :p


---------------
Mes guitares, ampli, et effets sont en vente !
n°205660
latruffe
Bdovore
Posté le 30-08-2002 à 14:30:49  profilanswer
 

Scusé mon ignorence mais comment fait-on pour éviter ça ?
 
Perso mes fichiers sont tous .inc.php mais il y a autre chose à faire (comme htaccess ?)

n°205708
format_c
Plouf plouf ...
Posté le 30-08-2002 à 14:54:08  profilanswer
 

latruffe a écrit a écrit :

Scusé mon ignorence mais comment fait-on pour éviter ça ?
 
Perso mes fichiers sont tous .inc.php mais il y a autre chose à faire (comme htaccess ?)




Un fichier inc.php, si le serveur est bien configuré, s'exécutera et donc son contenu ne sera pas visible par l'internaute. Donc apriori pas de pb.
D'un autre coté un htaccess ne peut pas faire de mal   ;)


Message édité par format_c le 30-08-2002 à 14:55:35

---------------
Mes guitares, ampli, et effets sont en vente !
mood
Publicité
Posté le 30-08-2002 à 14:54:08  profilanswer
 

n°205728
Dost67
Posté le 30-08-2002 à 15:01:47  profilanswer
 

Moi mes fichiers à inclure je fais inc_fichier.php . Po emmerdé comme ça ! Je vois pas l'intérêt de mettre .inc !!!!!!!!!!!!

n°205735
Je@nb
Kindly give dime
Posté le 30-08-2002 à 15:04:38  profilanswer
 

Dost67 a écrit a écrit :

Moi mes fichiers à inclure je fais inc_fichier.php . Po emmerdé comme ça ! Je vois pas l'intérêt de mettre .inc !!!!!!!!!!!!




 
Ben, parce que une règle.
Les fichiers à inclure doivent être nommés .inc.php et les classes .class.php

n°205740
format_c
Plouf plouf ...
Posté le 30-08-2002 à 15:09:42  profilanswer
 

Effectivement mettre une extension .inc safépu et pour cause :D


---------------
Mes guitares, ampli, et effets sont en vente !
n°205753
bozocarzu
Posté le 30-08-2002 à 15:25:44  profilanswer
 

Je@nb a écrit a écrit :

 
 
Ben, parce que une règle.
Les fichiers à inclure doivent être nommés .inc.php et les classes .class.php




 
C'est une regle  :??:  
 
Sa sert a rien !!

n°205756
lorill
Posté le 30-08-2002 à 15:28:05  profilanswer
 

bozocarzu a écrit a écrit :

 
 
C'est une regle  :??:  
 
Sa sert a rien !!




 
cékom réspékté le francé alaur ?

n°205780
Je@nb
Kindly give dime
Posté le 30-08-2002 à 15:45:39  profilanswer
 

bozocarzu a écrit a écrit :

 
 
C'est une regle  :??:  
 
Sa sert a rien !!




 
http://www.zephpmag.com/extraits/phpmag_02_sample.pdf
Ta tt les standart de codages

n°205787
bozocarzu
Posté le 30-08-2002 à 15:53:21  profilanswer
 

Ok, c'est peu etre plsu comprehensif, plus clair, mais si sa n'affecte pas le bon fonctionnement, je ne vois aucun interet a le mettre

n°205797
Je@nb
Kindly give dime
Posté le 30-08-2002 à 16:03:44  profilanswer
 

c'est comme écrire sans fotes d'ortaugrafe, on comprend mais ça fait chier qd on veut relire

n°205811
JPA
Posté le 30-08-2002 à 16:24:15  profilanswer
 

de plus, une bonne convention respectée, et en particulier la convention de nommage des variables et des fonctions, évite des bugs

n°205820
MagicBuzz
Posté le 30-08-2002 à 16:36:12  profilanswer
 

Au lieu de renomer les *.inc en *.inc.php ou *.php, vous pouvez pas plutôt configurer apache un minimum ?
 
Il suffit de lui dire d'interpréter les *.inc comme des *.php
 
(suffit de chercher la ligne où on défini comment parche le PHP, la dupliquer, et remplacer *.php par *.inc :sarcastic:)

n°205839
Je@nb
Kindly give dime
Posté le 30-08-2002 à 16:53:02  profilanswer
 

on controle pas tt le temps le serveur.  :pt1cable:

n°205844
LexTuhor
Posté le 30-08-2002 à 16:55:20  profilanswer
 

Je suis loin d'être un expert, mais dans le manuel de php, ils recommandent de configurer appache pour qu'il traite tout comme du php et ainsi pouvoir avoir des extensions html sur tous les fichiers...

n°205855
format_c
Plouf plouf ...
Posté le 30-08-2002 à 17:05:52  profilanswer
 

De toute façon ce n'est pas normal qu'un professionnel fasse ce genre d'erreur.


---------------
Mes guitares, ampli, et effets sont en vente !
n°205858
nico168
Posté le 30-08-2002 à 17:10:22  profilanswer
 

dans le meme genre, certain editeur de texte font des sauvegarde automatique en .bak.... rechercher les  .php3.bak ou .php.bak sur google etait interessant

n°205875
format_c
Plouf plouf ...
Posté le 30-08-2002 à 17:33:30  profilanswer
 

Google nous étonnera toujours :D


---------------
Mes guitares, ampli, et effets sont en vente !
n°205913
MagicBuzz
Posté le 30-08-2002 à 19:35:23  profilanswer
 

LexTuhor a écrit a écrit :

Je suis loin d'être un expert, mais dans le manuel de php, ils recommandent de configurer appache pour qu'il traite tout comme du php et ainsi pouvoir avoir des extensions html sur tous les fichiers...  




Le fait d'avoir "HTML" sur les fichiers, a mon avis, n'a pas grand intérêt. En effet, quand on envoie une querystring (?a=b&c=d) ou un queryform (méthode POST dans un formulaire) par exemple, on devine immédiatement que derrière il y a un serveur plus évolué. Et ensuite, PHP étant le plus répendu, on se pose même pas la question, c'est le premier truc qu'on va tester ;)
 
Deplus, "html" dans les éditeurs avec mise en couleur de la syntaxe, ça va pas marcher comme ça d'entrée de jeu, il y a de grandes chances pour que l'éditeur ne reconnaisse pas le PHP, car se basant sur l'extension. Donc c'est pas forcément heureux comme choix ;)
 
Mais sinon, il faut en effet tout indiquer comme étant à parser par le module PHP (ou autre langage sur les autres types de serveurs) ça évite ainsi d'avoir des trous énormes. Par contre, faut pas marquer les images pour l'interprétation hein ;) Ca peut marcher, mais dans ce cas, le parseur va ramer tout ce qu'il faut pour analyser les images à chaque fois, donc c'est assez déconseillé :D

n°205914
MagicBuzz
Posté le 30-08-2002 à 19:41:02  profilanswer
 

nico168 a écrit a écrit :

dans le meme genre, certain editeur de texte font des sauvegarde automatique en .bak.... rechercher les  .php3.bak ou .php.bak sur google etait interessant




LOL, MDR :lol:
 
Marche bien aussi avec global.asa.bak :D
 

Code :
  1. <SCRIPT LANGUAGE=VBScript RUNAT=Server>
  2. Sub Session_onStart
  3. Session("ConnectionString" ) = "DSN=billstatus;UID=IUSR_WWW1;PWD=;DATABASE=status;APP=ASP script"
  4. Session("ConectionTimeout" ) = 15
  5. Session("CommandTimeout" ) = 30
  6. End Sub
  7. Sub Session_onEnd
  8. End Sub
  9. </SCRIPT>


 
En plus ce boulay bn'a même pas mis de mot de pass à son utilisateur (et en plus ce saguouin utilise IUSR, le compte invité Web !!! pour se connecter à la base MDR)

n°205927
R3g
fonctionnaire certifié ITIL
Posté le 30-08-2002 à 20:32:48  profilanswer
 

nico168 a écrit a écrit :

dans le meme genre, certain editeur de texte font des sauvegarde automatique en .bak.... rechercher les  .php3.bak ou .php.bak sur google etait interessant
 




tin c'est pas con j'y avais jamais pensé ! php.bak : 2450 reponses dans google

n°205932
veryfree
Posté le 30-08-2002 à 20:37:32  profilanswer
 

ce topic pourait etre plus interessant si vous expliquez vraiment ce qu il faut eviter pq la j ai pas tout compris, vous reprochez a ces gards de ne pas configurer leur serveur de facon a  interprété les fichiers .inc.php ? c bien ca?


Message édité par veryfree le 30-08-2002 à 20:38:16
n°205935
MagicBuzz
Posté le 30-08-2002 à 20:43:20  profilanswer
 

nan *.inc tout court.
par défaut, PHP Apache renvoie ces fichiers sous forme de texte, mais le problème c'est qu'ils contiennent souvent des infos genre mot de pass d'accès à la base

n°205937
veryfree
Posté le 30-08-2002 à 20:51:54  profilanswer
 

MagicBuzz a écrit a écrit :

nan *.inc tout court.
par défaut, PHP Apache renvoie ces fichiers sous forme de texte, mais le problème c'est qu'ils contiennent souvent des infos genre mot de pass d'accès à la base




 
a ok  
ensuite ds leur code il font  
include("./monFichierPass.inc" );
 
??
 
a oui c pas fut fut c sur

n°205939
cybercouf
Posté le 30-08-2002 à 20:55:00  profilanswer
 

petite question (de débutant  ;) ) :
quand vous parlez de fichiers .inc, se sont les fichiers au quel vous faitez appel avec la fonction include(MonFichier.inc.php); ou c'est autre chose ?

n°205940
MagicBuzz
Posté le 30-08-2002 à 20:55:40  profilanswer
 

Ben oui, c'est des includes.
 
Mais il faut faire en sorte qu'Apache les exécute même s'ils ne sont pas inclus. Normalement, un include ne contient que des fonctions ou des déclarations de variables globales, mais n'affiche rien, donc si qq1 appelle ce fichier, il va rien voir, et la page ne contiendra rien, ce qui est mieu que le listing du code ;)

n°205941
gizmo
Posté le 30-08-2002 à 20:55:59  profilanswer
 

Cybercouf a écrit a écrit :

petite question (de débutant  ;) ) :
quand vous parlez de fichiers .inc, se sont les fichiers au quel vous faitez appel avec la fonction include(MonFichier.inc.php); ou c'est autre chose ?




c'est ca, sauf qu'ils ont oubliés le .php

n°205952
cybercouf
Posté le 30-08-2002 à 21:20:06  profilanswer
 

ha ok merci :jap:
pour le moment je me suis servis qu'une seule fois de cette fonction mais avec un fichier MonFichier.php, donc je le changerais en MonFichier.inc.php  :)

mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Programmation

  [Sécurité PHP] Y a quand même des Webmasters qui doutent de rien...

 

Sujets relatifs
PHP et équations !PHP question facile : comment on recupere l'ip ....
[PHP & logique] Simplifier un morceau de code[PHP] Tableau d'objet
Liste déroulante et (onchange) en PHP, comment faire ?[PHP] un code qui permet d'uploader un fichier qqpart d'après un form.
[ PHP ] prob substr ![PHP] - [MySQL] - Optimisation de SELECT COUNT(*)
[PHP] n'avoir que deux chiffre aprés la virgule pour un réel en php[PHP & mySQL] Gestion des caractères accentués ?
Plus de sujets relatifs à : [Sécurité PHP] Y a quand même des Webmasters qui doutent de rien...


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR