Espace perso

Répondre
manu56
le 10/02/2006 à 13:38
manu56
Bonjour,
je voudrais mettre a dispo des pti espace perso avec un accès ftp et pouvoir exécuter des fichiers php. Jusque la rien de dur, mais je ne veux pas qu'un mec qui dépose un fichier php dans son espace puisse faire : ../autre_site/connexion.php par exemple.
Les droits des dossier suffit? Si oui quel est le code de protection adéquate?

Sinon en créant un dossier via php comment limiter sa taille si je ne veux pas qu'il mette plus de 20mo par exemple?

Merci :p
Lefounard
le 10/02/2006 à 15:16
Lefounard
Salut,
Tu veux mettre un systeme d'envoi en ftp ? non pas en http ?
D'apres ce que je comprends, l'utilisateur ne pourra pas executer sur son espace perso les fichiers.php qu'il a envoyé ?!
Pour les quotas avec unix normalement mais bon est-ce que ton hebergeur te permet de gerer ces fonctions !
Sinon tu as une alternative, tu mets un compteur et tu mets un test, a chaque ajout de niveau fichiers ! Tu mesures les tailles avec les functions files*** de php !
Merci de ces précisions !
Ciao,
I am singing in the rain , I am happy again !!
manu56
le 10/02/2006 à 16:56
manu56
OUaip je vais préciser.
Donc le mec doit pouvoir déposer ses php via ftp et l'éxécuter via http (c'est fait juste pour pour que le mec fasse des pti tests c'est pas pour l'hébergement d'un site en entier). Je ne veux pas que le mec puisse acceder a un autre dossier via un script php de son dossier (exemple: include ("../autre_dossier/connexion.php");

Sinon j'y ai pensé pour le compteur mais bon si le mec se connecte au ftp pour up un fichier, c'est un peu mort !

Mon habergeur pour l'instant c'est 1and1...

Merci de ton aide
Bzh
le 10/02/2006 à 17:31
Bzh
Je comprends pas !!!!

Pourquoi vouloir autoriser l'acces pas ftp alors que tu peux tout gérer par http grace à un script php ???

De cette manière, tu pourras gérer la taille de chaque dossier, empêcher l'acces à d'autre dossier et sur tout l'empêcher de supprimer les fichiers php dit "systeme" (ceux qui gère l'accès) !!!!

Le seul inquonvéniant que je vois c'est la limite de ton hébergeur des tailles lors des upload "http" !!!!

Gère tout ça en php ! Je ne vois que cette solution... Et surtout oublie la connexion ftp qui à mon avis sera une très grande erreur...

Bye...
manu56
le 10/02/2006 à 18:05
manu56
bah c'était juste parce que c'était plus agréable d'utiliser un logiciel client ftp que de tout envoyer par http ...
DE tte facon il ne pourra pas supprimer les fichiers système puisque je créé un accès ftp pour chaque utilisateur avec son propre dossier (il n'a donc accès dans le ftp qu'à son dossier)...

Mais je comprends bien qu'ensuite c'est plus facile de gérer la taille limite par upload http.

Par contre même en uploader par http, ca n'empeche pas le mec d'essayer d'acceder a un fichier d'un autre utilisateur. C'est surtout ca le problème en faite... Comment empecher le mec d'avoir accès aux fichiers d'un dossier d'un autre utilisateur :

fichiers du site
--> dossiers_utilisateurs
--> bzh
--> connexion.php
--> laglobule
--> pirate.php

Comment faire pour que lorsque laglobule met dans son fichier pirate.php : include('../bzh/connexion.php'); l'accès au fichier lui soit refusé?

Est ce que la gestion des autorisation d'accès du fichier suffit? jusque la j'ai toujours mis 777, du coup la je sais pas trop ce qu'il faut mettre.

Excusé moi c'est vendredi j'ai un peu du mal à m'exprimé ^^
zebden
le 10/02/2006 à 20:43
zebden
Si t'as pas accès au serveur FTP, ou au serveur tout court, tu ne peux rien faire.

La seule possibilité pour toi de limiter, c'est par le protocole HTTP. et donc ensuite côté serveur, gérer avec PHP. S'il existe bien des fonctions pour utiliser le protocole FTP via PHP, ca reste dans ton cas limité.
zebdinou pour les intimes / Blog : http://www.zebden.fr
Bzh
le 11/02/2006 à 10:35
Bzh
Oui ! Zebden a raison...

Je te conseil vraiment de tout faire par le protocole HTTP !!! Pour les acces aux autres dossiers, utilise une connexion par mot de passe gérer par les .htaccess !!!! Comme cela, il ne pourront pas inclure les fichiers des autres dossiers...

Enfin il me semble de mémoire...
i M@N
le 11/02/2006 à 13:02
i M@N
Hello !

En http je suis d'accord, mais si il y a un truc à faire c'est d'empêcher d'uploader des fichiers .php . php3 etc ... sinon on prend le contrôle de ton server en moins de deux.

-Soit tu as un hébergeur qui te permet d'empêcher l'exécution de scripts .php dans certains répertoires protégés par un .htaccess
-soit tu renomes systématiquement les fichiers .php en [php].txt et tu fais un imagecopyresample() (je crois que c'est celle-là, la fonction qui recré une image avec la librairie gd) pour les images uploadées parce que chez free par exemple le code php dans un fichier ou un fichier avec une extension genre fichier.php.txt est éxécuté automatiquement (à tester sur les autres hébergeurs).

Ce genre de script d'upload est à configurer avec la plus grande paranoïa.

@+...
One Love, One Heart, One Unity.
manu56
le 11/02/2006 à 14:40
manu56
Salut,
Enfin moi j'aurais souhaiter justement qu'il puisse exécuter des script php et pour cela "isoler" son dossier, qu'il ne puisse pas acceder à d'autres dossiers en amont. Comment font les hébergeurs?
Ce que je veux faire en fait c'est un petit hébergement pour faire des test et des pti developpement (sans bien sur risquer de crasher le serveur...)

Enfin j'ai déja vu des personnes ayant un serveur dédié, héberger d'autres sites pour aider à le payer. Donc on peut le faire d'une facon sécurisé si l'on a un serveur dédié?

Merci de vos réponses
i M@N
le 11/02/2006 à 15:58
i M@N
Reuh ...

Pour moi un script .php (par exemple, ça pourrait être .asp aussi) rien ne l'empêche d'aller fouiner dans un répertoire parent, de supprimer, ajouter, modifier des fichiers (mais là-dessus je demande un second avis parce que peut-être en jouant sur les permissions des répertoires ftp on peut faire quelque chose comme autoriser le script à s'exécuter seulement dans son répertoire).

Les hébergeurs possèdent la machine et configurent ce qu'ils veulent, mais souvent un site hébergé sur un server n'a que des droits limités (impossible de changer les autorisations sur un répertoire ftp chez free par exemple), après si tu as une machine dédiée tu dois pouvoir le faire.

A partir du moment où plusieurs personnes peuvent se connecter au ftp, soit tu peux configurer des comptes ftp associés à certains utilisateurs et à certains répertoires, soit tu peux pas (comme chez free par exemple).

Donc je suppose qu'il faut un savant mélange de création de comptes ftp et d'autorisations sur les dossiers du servers pour mettre ton système en place.

Maintenant je suppose beaucoup parce que je n'ai jamais mis en place un système pareil et d'autres que moi ici sont plus compétents et sauront répondre avec plus de précision à cette question ... smiley Zebden, La Globule ?

@+...
One Love, One Heart, One Unity.
Répondre
LoadingChargement en cours