hack de site en php

[sky99]

  lehigreck a dit :

blaireau ce st pas un pirate ce st kk un ki aide les gen t a aps vu ou koi si c etait un pirate t aurait plus de site

Il serait souhaitable d'eviter ce genre de comportement, ami...

Les insultes n'ont aucune justification, ni interet ici...

Ce n'est pour l'instant qu'un avertissement, mais evite a l'avenir d'insulter quiconque

en ce forum.....

[Pipotron]

Pas mieux...

Le Veilleur... Veille

[tchernobyl]

Bonjour, l'histoire relatée ici est assez surprenante. Je me permet de remonter le topic car je débute en php mais je ne vois pas du tout comment on peut inclure une page à un site présentant une faille si le webmaster stocke ses pages sur un serveur dont il est le seul à avoir accès. Comment un internaute peut de chez lui ajouter une page sans passer par le serveur hébergeant le site ?

[RaphAstronome]

Ca s'appelle une faille include, le hacker fait lire son code (hébergé ailleurs) sur le serveur de la victime.

Ca permet d'exécuter n'importe quel script sur le serveur victime donc pourquoi pas fopen / fwrite / fclose pour y modifier les fichiers.

On peut aussi faire des fread pour lire et de là manipuler les bases de données.

Il faut aussi faire très attention à tout ce qui est require et autre car le principe est le même.

[Mephisto]

pour repondre au comment:

l'exemple type, c'est le site ou les liens appellent toto.php?page=lapage (toto, index, peu importe, la page "template")

une bonne facon de le faire serait de checker (switch/case, par exemple) que la page demande est bien a toi, et rediriger (en dur) sur la bonne

une autre facon un peu plus sale serait de faire un include($_SERVER['DOCUMENT_ROOT']."/path_de_tes_pages/".$_GET['page'])

la mauvaise facon, c'est le include($_GET['page'])

mais plus generalement, evite include, utilise require, voire require_once

et n'include/require pas de variables (sauf cas exceptionnels, si t'es certain que la variable a ete initialise avec une valeur en dur, peu importe ce qu'aurait demande l'user)