YoannOn59. Posté(e) le 23 janvier 2005 Posté(e) le 23 janvier 2005 Voilà, j'ai créer un script php qui permet defaire une image jpg avec votre ip. Mais le problème c'est qu'avec tout les forums, impossible de faire [ img]http://adresse/.ip.php[/img]. Donc j'aimerai savoir comme faire si je renomme ip.php en ip.jpg, pour que ip.jpg soit éxecuter comme un fichier php et ainsi être affiché sur les forums. J'ai tenté le htaccess mais avec free y'a comme un problème, il me demande de télécharger le jpg... AddType application/x-httpd-php .jpg Comment qu'on fais alors ?
theocrite Posté(e) le 23 janvier 2005 Posté(e) le 23 janvier 2005 La ligne que tu as mise devrait convenir, mais c'est mieux de la mettre dans le httpd.conf.
savory Posté(e) le 23 janvier 2005 Posté(e) le 23 janvier 2005 Options +FollowSymlinks RewriteEngine on RewriteRule ^image.gif$ image.php [L]
Nyro Xeo Posté(e) le 24 janvier 2005 Posté(e) le 24 janvier 2005 L'URL Rewriting chez Free est désactivé. Je sais pas si la solution proposée par savory fonctionne (flemme de tester ), mais sur un forum IPB, tu peux faire ça : Par contre sur phpBB, ça fonctionnne pas :( À ce moment là, c'est bien l'URL Rewriting la solution (ou éventuellement celle de savory si elle fonctionne).
zigomat Posté(e) le 24 janvier 2005 Posté(e) le 24 janvier 2005 ça ne marcherait pas en ajoutant un parametre ? Genre http://adresse/ip.php?img=img.jpg même si le parametre ne sert à rien dans php ??? Marrant, j'essaie de t'envoyer une soluce et en postant le message je reçois le message d'erreur suivant : Désolé, les pages dynamiques dans les tags ne sont pas autorisés Donc, ça tombe à l'eau !
YoannOn59. Posté(e) le 25 janvier 2005 Auteur Posté(e) le 25 janvier 2005 Aucune de vos solutions ne marchent...
Arofarn Posté(e) le 26 janvier 2005 Posté(e) le 26 janvier 2005 Je dirais que c'est normale que cela ne marche pas: ce serais à mon avis une faille de sécurité importante pour les forum, non ?
Nyro Xeo Posté(e) le 26 janvier 2005 Posté(e) le 26 janvier 2005 Je dirais que c'est normale que cela ne marche pas: ce serais à mon avis une faille de sécurité importante pour les forum, non ? Pourquoi ?
The Lootrophile Posté(e) le 26 janvier 2005 Posté(e) le 26 janvier 2005 On pourrait à travers une image piégée voir l'arborescence des fichiers, faire des drop_table, supprimer le forum..
Nyro Xeo Posté(e) le 26 janvier 2005 Posté(e) le 26 janvier 2005 C'est une blague, j'espère ?? Si oui, je suis mdr Si non, je suis inquiet... ^^ C'est absolument impossible ! Une image (même en PHP) n'est qu'une image ! Si on fait un , ça revient, dans la source, à faire un simple : <img src="http://www.site.com/image.php#.png" alt="avatar" /> En gros, c'est qu'une image ! Par contre, si on upload une image PHP, là il peut peut-être y avoir un problème, mais je crois que de toute façon, lors d'un upload, c'est l'image elle-même qui est prise (pour être renommée dans le bon repertoire (en .jpg ou .png selon le type) )...
The Lootrophile Posté(e) le 26 janvier 2005 Posté(e) le 26 janvier 2005 C'est une blague, j'espère ??Si oui, je suis mdr Si non, je suis inquiet... ^^ Ben, oui, c'est précisément pour ça que c'est impossible.
savory Posté(e) le 27 janvier 2005 Posté(e) le 27 janvier 2005 La methode via l'url rewriting marche tres bien a condition d'avoir un httpd qui accepte les htaccess et qui a mod_rewrite d'activé. Sinon une image ne peut pas etre utilisée pour pirater une machine quand elle est appelée telle quelle dans un <img src> ( mis a part les bug potentiels sur la heap des lib graphiques permettant de l'afficher je pense notament au dernier bug de gdi+ ). Donc YoannOn59. change d'hebergeur :) pour un autre qui gere le mod_rewrite ou encore mieux heberge chez toi.
Nyro Xeo Posté(e) le 31 janvier 2005 Posté(e) le 31 janvier 2005 Je viens de trouver une nouvelle méthode : Ceci est un avatar aléatoire hébérgé chez free (free n'accepte pas les url rewriting). Cherchez l'astuce © Nyro Xeo
YoannOn59. Posté(e) le 6 février 2005 Auteur Posté(e) le 6 février 2005 Vas-y dit ! $tab=explode("/",$REQUEST_URI); Ca serait pas avec un bout de code comme ca ?
cedricpc Posté(e) le 6 février 2005 Posté(e) le 6 février 2005 Peut-être parce qu'il est sur online.fr ? :)
YoannOn59. Posté(e) le 7 février 2005 Auteur Posté(e) le 7 février 2005 Peut-être parce qu'il est sur online.fr ? :) Online, c'est le même que Free...
Compte_supprime_49771 Posté(e) le 8 février 2005 Posté(e) le 8 février 2005 Cherchez l'astuce mod_rewrite est désactivé, mais mod_alias fonctionne? [Edit: Je me souvenais plus, mais on peut pas régler d'aliases dans les .htaccess ^_^]
savory Posté(e) le 8 février 2005 Posté(e) le 8 février 2005 http://nyro.xeo.online.fr/avatar.png/index.php
Compte_supprime_49771 Posté(e) le 8 février 2005 Posté(e) le 8 février 2005 http://nyro.xeo.online.fr/avatar.png/index.php Nice lol ^_^
YoannOn59. Posté(e) le 8 février 2005 Auteur Posté(e) le 8 février 2005 J'ai trouvé ! Il a créer un dossier avatar.phn et a glisser dedans le script php en l'appelant index.php... et mettre http://nyro.xeo.online.fr/avatar.png au lieu de http://nyro.xeo.online.fr/avatar.png/index.php... C'est pas con du tout ca !!!!
cedricpc Posté(e) le 9 février 2005 Posté(e) le 9 février 2005 Et bah c'est encore bien ça niveau sécu... Mais c'est bon à savoir merci :)
Compte_supprime_49771 Posté(e) le 9 février 2005 Posté(e) le 9 février 2005 Et bah c'est encore bien ça niveau sécu... Mais c'est bon à savoir merci :) Disons que théoriquement, ça devrait pas fonctionner, parce qu'il n'y a pas de slash à la fin de l'URL, et que le serveur qui heberge l'image est censé en attendre un, s'il doit aller voir un répertoire... mais vu que y'a énormément de personnes qui ne mettent pas le slash final pour aller voir des répertoires (dans des liens classiques), il y a des règles au niveau des serveurs (qui normallement, peuvent être modifiées) pour remplacer les url de type http://example.org/test par http://example.org/test/ si 'test' est un répertoire ^_^ Il est clair que niveau sécurité, c'est pas génial La solution, dans un forum, est d'interdire tout lien exterieur pour les images... (upload sur le serveur des avatars et signatures) et puis genre une autorisation de liens vers certains services d'hébergement d'images, pour quand y'a besoin de poster des screenshots ou images quelconques... (ou posibilité d'upload sur le serveur de toutes les images, mais ça peut finir par prendre pas mal de place)
YoannOn59. Posté(e) le 9 février 2005 Auteur Posté(e) le 9 février 2005 Disons que théoriquement, ça devrait pas fonctionner, parce qu'il n'y a pas de slash à la fin de l'URL, et que le serveur qui heberge l'image est censé en attendre un, s'il doit aller voir un répertoire... mais vu que y'a énormément de personnes qui ne mettent pas le slash final pour aller voir des répertoires (dans des liens classiques), il y a des règles au niveau des serveurs (qui normallement, peuvent être modifiées) pour remplacer les url de type http://example.org/test par http://example.org/test/ si 'test' est un répertoire ^_^Il est clair que niveau sécurité, c'est pas génial La solution, dans un forum, est d'interdire tout lien exterieur pour les images... (upload sur le serveur des avatars et signatures) et puis genre une autorisation de liens vers certains services d'hébergement d'images, pour quand y'a besoin de poster des screenshots ou images quelconques... (ou posibilité d'upload sur le serveur de toutes les images, mais ça peut finir par prendre pas mal de place) Tu crois vraiment qu'un forum peut se faire pirater grâce à un simple <img src> ? Ton navigateur va chercher l'image qui se situe sur le serveur ou le script est stocké et c'est non pas le forum qui va chercher l'image !!! Peut-être que je me trompe ?
Compte_supprime_49771 Posté(e) le 9 février 2005 Posté(e) le 9 février 2005 Tu crois vraiment qu'un forum peut se faire pirater grâce à un simple <img src> ? Ton navigateur va chercher l'image qui se situe sur le serveur ou le script est stocké et c'est non pas le forum qui va chercher l'image !!! Peut-être que je me trompe ? Je parle pas de piratage direct, je parle de problèmes quand on veut contrôler le contenu inclus sur le forum (à cause des risques de récupération d'informations par n'importe qui, de l'IP des lecteurs... si tu regardes tes logs de serveur web, en même temps que le forum, tu peux même associer IP et pseudonyme...) Enfin sur ce forum, ça change rien, puisqu'on peut inclure des images exterieures dans les posts... mais sur des forums un peu plus sensibles, ça peut rapidement devenir dangereux...
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.