oui, c'est tout à fait ça, du cross-scripting. Ce n'est donc pas à la portée de tout le monde, mais si qqun veut *vraiment* voir vos identifiants de connexion, il sera en mesure de le faire
Hors ligne
Ok, j'ai corrigé les pages.
Par contre dans init.inc.php, je n'ai pastrouvé la ligne 17, j'ai ajouté la ligne que tu as donné, et j'ai modifié également les 2 lignes après, ce qui donne ça maintenant :
* *
***************************************************************************/
define( PREFIXE_INCLUDE, '');
include_once( PREFIXE_INCLUDE."./include/config.inc.php" );
include_once( PREFIXE_INCLUDE."./include/user.inc.php" );
était-ce utile ?
Tout est entré dans l'ordre, l'hébergeur a réactivé les dns et le site, vu, après enquête que j'y étais pour rien. En tous cas merci z0rglub d'avoir trouvé la soluce si vite ! Génial ! :D
Hors ligne
Heu... maintenant c'est possible de savoir comment le pirate s'y est pris ?
Je débute en PHP et j'aimerais savoir quelles mesures de sécurité il faut prendre...
Merci
(si tu préfères : tnorth_AT_bluewin.ch)
Hors ligne
Ok je commence à comprendre gentillement...
8O 8O 8O
Je pensais pas que ça soit si sensible, un script PHP !
Donc il faut vraiment tout prévoir ?!
C'est fou le nombre de choses qu'il faut penser avant de publier un script.... Je vais remplacer tous les include alors...
Merci :D
hmmmm...
Bon finalement je crois que la galerie en question on vas la jarreté pasque la ça devien dangerous ont dirait désolé pour ce superscript...
ben tu fais as you wish :)
Juste que je donne la soluce pour corriger le problème et que la version actuellement disponible au téléchargement est exempte de cette faille de sécu. Mais c'est clair qu'à l'avenir on trouvera surement encore d'autres failles. C'est un script open source, on trouve les failles mais lorsqu'elles sont trouvées on fournit un patch rapidement.
pour plus de secu j'ai rajoute ca comme .htaccess
dans admin
AuthName "My Tools ....are private."
AuthType Basic
AuthUserFile .htpasswd
require valid-user
et dans tous les autres rep
# This is used with Apache WebServers
# The following blocks direct HTTP requests in this directory recursively
#
# For this to work, you must include the parameter 'Limit' to the AllowOverride configuration
#
# Example:
#
#<Directory "/usr/local/apache/htdocs">
# AllowOverride Limit
#
# 'All' with also work. (This configuration is in your apache/conf/httpd.conf file)
#
# This does not affect PHP include/require functions
#
<Files *.php>
Order Deny,Allow
Deny from all
</Files>