include et danger

le Dim Fév 25, 2007 18:54

Bonjour,
Un code comme celui-ci est-il susceptible d'être vulnérable ou est-ce seulement avec les GET

<?php include ("http://www.monsite.com/fichier.html"); ?>

Merci

le Dim Fév 25, 2007 19:01

C'est avec les get que ça "peu" poser problème "si" la parade qui consiste à vérifier la présence d'un fichier test n'est pas mise en place.

le Dim Fév 25, 2007 20:48

Si tu as confiance en monsite.com (et en tes serveurs DNS), pas de probleme. Et un include est un GET.

le Lun Fév 26, 2007 9:00

par contre, si tu peux inclure un fichier distant (je vois l url absolue, je me dit que c est un autre nom de domaine) alors tout le monde peut le faire sur ce fichier

le Lun Fév 26, 2007 9:55

Comment

le Lun Fév 26, 2007 10:37

ben en tappant le meme code :
<?php include ("http://www.monsite.com/fichier.html"); ?>

ou alors tu restes bien sur le meme nom de domaine, donc tu fais un include("./fichier.html"). ou se trouve le fichier ? tu est sur un dédié ? un mutualisé ? le fichier que t inclus est où ?

le Lun Fév 26, 2007 10:47

horlogerie a écrit:Bonjour,
Un code comme celui-ci est-il susceptible d'être vulnérable ou est-ce seulement avec les GET

<?php include ("http://www.monsite.com/fichier.html"); ?>

Je ne vois pas comment un code qui ne contient aucune variable peut être vulnérable.

Jean-Luc

le Lun Fév 26, 2007 15:15

jeanluc a écrit:
horlogerie a écrit:Bonjour,
Un code comme celui-ci est-il susceptible d'être vulnérable ou est-ce seulement avec les GET

<?php include ("http://www.monsite.com/fichier.html"); ?>

Je ne vois pas comment un code qui ne contient aucune variable peut être vulnérable.

Jean-Luc

Pareille, comment ? C'est impossible !
Il a indiqué monsite, pas sonsite

non ?

le Lun Fév 26, 2007 16:19

Aucun risque ni avec GET, ni rien.

le Lun Fév 26, 2007 17:20

xescorp a écrit:Aucun risque ni avec GET, ni rien.

T'as raison riton.

Mets ça sur ton index.php:

<?php include $_GET['page'] ?>

et donne moi ton url. Jvais faire du ménage

le Lun Fév 26, 2007 17:26

C'est une question de confiance. Il n'y a pas de risque tant que le serveur distant et les DNS ne sont pas compromis. Maintenant, si qqn arrive a modifier fichier.html ou l'IP de monsite.com et insere du code dangereux... il peut faire ce qu'il veut.
Au passage on utilise pas include() pour inserer du html. La fonction readfile() permet d'inserer un fichier sans l'executer, ce qui est beaucoup plus sur. http://fr2.php.net/manual/fr/function.readfile.php

include et danger

include et danger

Re: include et danger

Re: include et danger

Formation recommandée sur ce thème :

Lectures recommandées sur ce thème :

Qui est en ligne