Tentative de Hack ?

le Sam Oct 21, 2006 13:27

thierry8 a écrit:par contre ce qui m'intéresse c'est de savoir s'il est possible de désactiver la fonction via htaccess.
(ou même dans le code htaccess)

bon j'ai regardé, via htaccess je n'ai rien trouvé en revanche en php avec ini_set() on ne peut modifier cette variable de config.

le Sam Oct 21, 2006 15:20

Ok, merci rog :wink:

Je viens de tester ça, et pas de bol, allow_url_fopen et Register_Globals sont sur "on". Mais je pense que ça doit être partout pareil sur les mutualisés ... :lol:

le Sam Oct 21, 2006 15:34

Pandore a écrit:Ok, merci rog

Je viens de tester ça, et pas de bol, allow_url_fopen et Register_Globals sont sur "on". Mais je pense que ça doit être partout pareil sur les mutualisés ...

oui Register_Globals est presque indispensable..

pour allow_url_fopen c'est en effet à on sur la plupart des hébergeurs.
mais comme l'a dit rog, si toutes les données entrantes sont bien gérées, il ne peut y avoir de problème. mais cette fonction est nécessaire et les hébergeurs ne peuvent priver les utilisateurs de cela (ceux qui parse des flux d'autres sites par exemple)

le Sam Oct 21, 2006 16:09

Pandore a écrit:
bigjet a écrit:Normalement ça se fait via le php.ini et c'est la variable allow_url_fopen qu'il faut mettre à off.

C'est pour les dédiés ça ? En mutualisé, on ne peut pas modifier le fichier php.ini ... C'est peut-être déjà à cet valeur. Il y a moyen de le savoir ou pas ???

Merci quand même de ta réponse, ça peut toujours servir

Certains hébergeurs mutualisés (dont celeonet) te passent "Register_Globals" à "off" sur demande.

le Sam Oct 21, 2006 18:11

defendre un script avec globals activé est dur

la il faut prevoir que toutes tes variables sont injectables et pour chaque variable déclarée tu dois evaluer les risques d'une injection

rog

le Mar Oct 24, 2006 7:07

Pandore a écrit:
thierry8 a écrit:une recherche sur la page phpinfo avec le nav.

C'est-à-dire ??? Quelle page phpinfo ???

tu entres dans ton navigateur l'url de ton site www.lenomdedomaine.truc puis /phpinfo.php
Et ça te donne tout le détail de la configuration php sur ton serveur.
Ce qui m'a permis de vérifier qu'il y a bien allow_url_fopen On comme "local Value" et comme "Master Value.
C'est serveur mutu, donc phpini inaccessible. COmment je fais pour avoir allow_url_fopen OFF ?
Merci

le Mar Oct 24, 2006 7:19

@aventvoy : il avait compris je pense : :roll:

Pandore a écrit:Ok, merci rog

pour ta question: demande à ton hébergeur me semble logique non ? :roll:

le Mar Oct 24, 2006 7:34

Il avait effectivement compris, j'ai "posté" sans lire la suite...
Et mon hébergeur, merci, je lui ai déjà demandé, et la réponse est not possible. Comme l'a dit Rog un peu plus haut : "cette fonction est nécessaire et les hébergeurs ne peuvent priver les utilisateurs de cela (ceux qui parse des flux d'autres sites par exemple)".
Merci quand même, et hop je me remets à ma place, je lis et je la ferme... Ça m'apprendra a répondre moins vite que d'autres :roll:

le Mar Oct 24, 2006 7:39

aller à l'oclctic (la police) pour ce genre de chose.

le Mar Oct 24, 2006 8:07

aventvoy a écrit:Comme l'a dit Rog un peu plus haut : "cette fonction est nécessaire et les hébergeurs ne peuvent priver les utilisateurs de cela (ceux qui parse des flux d'autres sites par exemple)".

c'est moi qui est écris cela. tu as du mal ce matin ?!

Tentative de Hack ?

Formation recommandée sur ce thème :

Lectures recommandées sur ce thème :

Qui est en ligne