.htaccess: c'est normal qu'on accède quand même aux scripts?

[djkori]

Salut voilà, j'ai mis un .htaccess dans mes divers dossiers, que je voudrais protéger, donc, ça marche, il y a bien la fenêtre qui demande les codes et puis si on arrive à mettre le login et passwrd, , ça ouvre mon index et sinon, ça charge une page 404, qui est enfait mon index mais sans css comprends pas...
C'est quoi donc cette page 404 exactement?
Est ce que je peux faire en sorte que cette page 404 soit une page à moi, par exemple, qui me redirige sur ma page d'accuiel, par ex?

et en ce qui concerne les css, par ex, il est facile de connaitre le nom de fichier grace à la source, et le nom du dossier où ils se trouvent... et donc mon .htaccess ne me protège pas vraiment car, même si au départ la fenêtre du login et password apparait, même si on met pas le code et qu'on abandonne la fenêtre de code, le script css apparait sur le navigateur... donc pas terrible...

[slender]

tu insères cette ligne dans ton fichier htacces:
ErrorDocument 404 /index.html
ou
ErrorDocument 404 /index.php si c'est du php
salut

[djkori]

J'ai donc mis ton code, ça marche pas vraiment... ça m'affiche pas la page que je veux, mon .htacces est dans un dossier et ça affiche la page d'index de la racine, mais sans le css... donc pas beau... j'ai un fichier index dans le dossier, c'est celui là que je voudrais que ça charge, et pas l'index de la racine (et sans css en plus... eheheh.)

[slender]

essaie
ErrorDocument 404 /mon_dossier/index.html

[Haq]

Indique nous le contenu de ton .htaccess

[djkori]

ça a pas l'air de marcher mais je pensais à un truc; c'est peut être pas la bonne erreur... c'est possible de mettre dans le fichier .htaccess plusieurs numéros d'erreur? type:

Code: Tout sélectionner

ErrorDocument 401 /mon_dossier/index.php
ErrorDocument 404 /mon_dossier/index.php

en plus de la page d'erreur 401, il apparait une erreur aditionnelle:
voici le message d'erreur que je reçois:

Authorization Required
This server could not verify that you are authorized to access the document requested. Either you supplied the wrong credentials (e.g., bad password), or your browser doesn't understand how to supply the credentials required.

Additionally, a 401 Authorization Required error was encountered while trying to use an ErrorDocument to handle the request.
Apache/1.3.33 Server at www.pukanina.com Port 80

[/b]

Voici le code de mon htaccess

Code: Tout sélectionner

AuthName "Dossier protégé, montrez patte blanche..."
AuthType Basic
AuthUserFile "/home/pukanina/img/.htpasswd"
Require valid-user
ErrorDocument 401 /img/index.php
ErrorDocument 404 /img/index.php

le fichier .htpasswd est dans le même dossier

[Didier_S]

Additionally, a 401 Authorization Required error was encountered while trying to use an ErrorDocument to handle the request.

cela signifie que le serveur a rencontré une erreur 401 en voulant afficher la page 404, ce qui est normal puisqu'elle est dans un répertoire dont l'accès est protégé !
place ta page 404 dans un répertoire libre d'accès

[djkori]

J'ai essayé, ça marche impeccable, excellent, merci !

[djkori]

bon, alors ça marche excellent dans tous les dossiers, sauf... sur le dossier css... j'ai beau mettre mon .htaccess et mon .htpasswd dans le dossier, diriger l'erreur 404, 401, vers un dossier non protégé... ça m'affiche le code css.. et comme on a le nom du fichier avec la source, je ne peux pas protéger mon code... est ce que ça serait une particularité de ces fichiers?? sont-ils improtégeable?? bizarre tout de même

edit, non en fait, c'est pas top sur mon dossier media, là où y a mes photos, à chaque fois que la page se charge, faut rentrer un passwd... je crois que je vais laisse tomber les accès protégés... tans pis. mais c'est quand même bizarre que ça marche que sur un seul des dossiers...

edit2... non, vraiment ça buggue vraiment... est ce que ça peut être la faute du serveur?

[slender]

pourquoi tu fais pas un contrôle toi même sur le premier fichier appelé après ton submit et qui vérifie ton accès, qui crée une session, ensuite tous les fichiers du dossier que tu veux protéger le seront à condition de vérifier si la var accès_ok existe:

Code: Tout sélectionner

if (isset($login) && isset($password))                                                 
   {
      // connexion à la base sql
      mysql_connect($host,$user,$pass);                                                       
      // On vérifie si "access" est égal à "ok" dans la base
      // on regarde à l'endroit des login et password
      $req = mysql_db_query("slenderline", "select access from tableAccess where login = '$login' and password = '$password'"); 
      // si le login et le password ne sont pas trouvés, on arrète le script
      $result = mysql_fetch_object($req) or die("Login ou password incorrect !");           
      // on met l'access dans une variable $access
      $access = $result->access;
      // On vérifie la valeur de la variable $access
      if ($access != "ok")                                                               
      {
         echo "Compte désactivé !";
         // On arrète le script
         exit();                                                                           
   }
   else
   {
      // si on a passé toutes les étapes, on enregistre la variable session "entry_ok"
      session_register("entry_ok");
   }
// on ferme la connexion mysql
mysql_close();                                                               
}


naturellement faut accéder à mysql si tu veux vérifier l'acces pour beaucoup de clients, si ce n'est que pour un ou deux couples 'login/pass' tu peux le faire directement dans le code.

[djkori]

Merci slender pour ce script, je vais l'essayer.

[Jderamaix]

sauf erreur de ma part, ce que tu voudrais c'est que ton fichier css ne soit pas visible depuis le site.

Ca ne sert a rien. Un fichier css est forcément téléchargé sur l'ordinateur de l'internaute qui peut ensuite le copier, le lire et l'utiliser à loisir.
En plus si il programme un peu de html, il aura certainement firefox et peut-être l'extension "developper bar" et sa fonction "view css" qui affiche la css qui a été téléchargée.

Et forcément, à chaque fois que tu charges ta page, ça te demande le code pour dl la CSS.

CSS n'est pas une application du serveur, mais de l'interpréteur (IE/Firefox) qui la télécharge avec la page html et la transforme en styles.

++