Suggestions pour les prochaines versions

[Suede]

Bonjour,

Peut-etre que ce que je vais dire a déjà été dit mais je ne l'ai pas vu:

- Variables utilisées : est-ce que tu pourrais les personnaliser. Par exemple utiliser googlestat_nom_de_ta_variable au lieu de nom_de_ta_variable ? Cela permet d'éviter les interactions entre ton script et les sites. En particulier pour des noms aussi générique de LANGUE par exemple.

- Séparation du répertoire admin et config : le fichier de config doit être accessible. Hors il se trouve dans le répertoire admin que tu suggères de protéger. Cela est impossible sur tous les gratuits car chez eux, soit tu proteges le repertoire entier, soit tu proteges rien. En mettant, le fichier config dans son propre répertoire, tu permettrais de protéger le répertoire admin tout en laissant accessible le répertoire config.

Voila, c'est tout.

François

[bielle64]

Au rayon suggestions, ce serait pas mal que la page d'accueil affiche le nombre de visites et de pages vues pour tous les robots en même temps. Le fait d'avoir à cliquer sur chaque robot est plutot pénible
Je n'arrive toujours pas à faire fonctionner le graphique, j'attends la prochaine maj poour m'en inquiéter.

[ortolojf]

Bonsoir Suede
Je ne comprend pas ce que tu dis.

C'est plutôt le fichier config.php qu'il faut protéger, en plus du répertoire admin/ avec fichier .htaccess

Cependant, le mode de protection par fichier .htaccess n'est pas absolu, il vaudrait mieux effetivement, que le fichier config.php soit dans son propre répertoire, par exmple un sous-répertoire de admin/ , et que ce sous-répertoire ne soit accessible à personne, même avec mot de passe.

Pour faire cette modification, c'est très simple: Il suffit de créer un sous-répertoire dans admin/, par exemple admin/config/ de mettre le config.php dedans, et de laisser dans le répertoire admin/ un autre fichier config.php , contenant simplement celà:

<?php
include config/config.php
?>

Quant au fichier .htaccess à mettre dans le répertoire admin/config/ , je ne me souviens plus de la syntaxe d'interdiction d'accès globale, je l'ai mise dans le fichier .htaccess qui protège le répertoire de mon propre fichier config.php de mon site.

Il reste à savoir si les valeurs des variables d'un fichier inclus dans un fichier inclus dans un script php, seront visibles à partir de ce script.

Je suppose que c'est le cas.

J'ajoute que ce que j'indique n'est qu'un hack temporaire, et qu'il faudrait en fait, modifier tous les include du fichier config.php transféré dans le sous-répertoire admin/config/ , dans les scripts de GoogleStats, ce serait plus logique.

Ceci dit, je'avoue ne pas très bien comprendre comment un script php pourrait être visible par l'intermédiaire du protocole http...

Bien à toi.

Jean Francois Ortolo

[Suede]

Salut,
Le code à insérer fait appel à config. Donc il doit être accessible depuis tous les autres fichiers du site

Code: Tout sélectionner

<?php
include($DOCUMENT_ROOT.'/googlestats/admin/config.php');
include($DOCUMENT_ROOT.'/googlestats/googlestats.inc.php');
?>

De toute façon, ce qui est dans config.php ne peut pas être lu vu que le fichier est parsé.
Ce n'est donc pas grace s'il n'est pas dans un répertoire protégé.
Par contre, tout le reste doit être protégé, en particulier le reset des stats.
Sur un hébergement gratuit, cela n'est en général pas possible.

François

[ortolojf]

Bonjour Suede
J'ai fait un bug.
Ce n'est pas avec un fichier .htaccess que j'ai protégé le fichier config.php de mon site, mais plutôt en le mettant dans un sous-répertoire accessible en lecture-écriture-exécution, uniquement à l'utilisateur.

D'où, droits Unix de mon fichier:

-rwx------ config.php

Comme ça, seul un utilisateur ayant le login et le mot de passe de mon compte FTP, peut lire ce fichier.

Ceci dit, ce que tu dis est partiellement vrai, mais je ne comprend pas ce que tu dis quant à la protection du répertoire admin/ , qui lui est bel et bien protégé par login/password , donc par un fichier .htaccess , ce qui est à la fois nécéssaire et suffisant du point de vue sécurité.

Bien à toi.

Jean Francois Ortolo

[Suede]

Salut,
Le fichier config.php est à l'origine dans le répertoire admin -> si tu protèges totalement le répertoire admin, tu ne peux plus avoir accès à config.php à partir de tes autres fichiers.

François

[ortolojf]

Bonjour Suede
Bon, alors on refait le positionnement du fichier config.php dans un sous-répertoire non protégé de googlestats, et j'ajoute que le répertoire contenant mon config.php de mon site, a ces droits:

dxwr--------- config/

Mon fichier config.php de mon site, a ces droits:

-x-r--------- config.php

Comme d'une part, le protocole HTTP interdit la visualisation du contenu d'un script PHP, et qu'il sera impossible d'accéder à ce fichier par FTP, autrement qu'en ayant le login/password FTP, le problème est résolu.

Mais je ne comprend pas ce que tu dis à propos de l'accès au fichier config.php à partir des autres scripts qui l'ont en include.

Que le répertoire contenant config.php contienne un .htaccess restreignant ses droits d'accès par HTTP ou non, celà ne change rien au fait que les autres scripts PHP peuvent y accéder, vu qu'il sont situés sur le serveur, sont eux-mêmes accessibles par le protocole HTTP, et peuvent lire sur le serveur, tous les répertoires et les fichiers ayant les droits idoines.

Donc, le réprtoire contenant le fichier config.php, peut bien être d'accès interdit à tout le monde avec un fichier .htaccess , celà n'a pas d'importance, et le rend seulemnt inaccessible par le protocole HTTP.

Donc en particulier, il est possible de faire comme je le disais, avec un sous-répertoire du répertoire admin/, par exemple admin/config/ , contenant le fichier config.php ayant les droits que j'indique ci-dessus, et un fichier .htaccess dans ce sous-répertoire, interdisant l'accès à tout le monde.

Bien à toi.

Jean Francois Ortolo

[Suede]

Donc, le réprtoire contenant le fichier config.php, peut bien être d'accès interdit à tout le monde avec un fichier .htaccess , celà n'a pas d'importance, et le rend seulemnt inaccessible par le protocole HTTP.

OK, merci de l'explication. Donc, le htacces ne limite pas l'acces via script php. Je pensais que ce n'était pas le cas et qu'un include n'était pas possible.

Merci

François

[WebRankInfo]

je vois que ceci vous inspire bcp ! par contre je ne comprends pas bien pourquoi il faudrait mettre le fichier config dans un répertoire spécial ? Ce que je conseille, c'est de limiter l'accès à tout le répertoire admin, en sachant que ça ne gène pas le fonctionnement et que n'importe quelle page de votre site peut inclure le fichier admin/config.php
à propos, pour renforcer un peu la sécurité, je conseille aussi de changer les noms du répertoire admin et du fichier config

au sujet des noms des variables, y a-t-il autre chose que LANGUE ?
d'ailleurs GS n'est pas terrible avec autant de variables globales...

[Suede]

au sujet des noms des variables, y a-t-il autre chose que LANGUE ?
d'ailleurs GS n'est pas terrible avec autant de variables globales...

Est-ce que tu as une liste de toutes tes variables ? Ca permettrait de jeter un coup d'oeil plus facilement. Mais l'idéal est que quand tu referas une nouvelle version, tu mettres un préfixe à tes noms de variable.

François

[Allance]

J'ai séparé Google en 2 parties : Google Full, et Google Fresh
et c'est bcp plus lisible pour visualiser les passages de Google.

Ca serait une idée à intégrer à le prochaine version ?

[Jocelyn]

Bonjour,
je viens d'installer googlestats, et j'ai plein d'avertissements PHP qui s'affichent.
Exemples :

Notice: Undefined variable: rub in d:\web\htdocs\tests\googlestats\index.php on line 44
Notice: Undefined variable: ordre in d:\web\htdocs\tests\googlestats\calendrier.php on line 70
Notice: Undefined variable: sens in d:\web\htdocs\tests\googlestats\calendrier.php on line 70
Notice: Undefined variable: i in d:\web\htdocs\tests\googlestats\calendrier.php on line 93

Le problème vient du fait d'un test incorrect pour l'existence des variables.
Exemple (index.php, ligne 44)

Code: Tout sélectionner

if ( (getVar('rub') == 'bilan') || ($rub == '') )

à remplacer par :

Code: Tout sélectionner

if ( (getVar('rub') == 'bilan') || (!isset($rub)) )

Tous ces avertissements apparaissent car mon installation PHP est configurée avec :
display_errors = 1
error_reporting = E_ALL

C'est certainement une modification pénible (tous les fichiers à revoir) mais ça serait une modification bénéfique (du code plus "propre" ne fait pas de mal )

Jocelyn

[WebRankInfo]

je suis preneur de toute remarque de ce genre, car moi mon installation PHP est assez laxiste. je vais m'en occuper !