vandutch
DZSatien V.I.P
- Inscrit
- 29/3/08
- Messages
- 2 418
BJR LA TEAM
J'ai reçu par MP une demande d'explication sur le fameux .htaccess
Il m'a semblé bon que ma réponse soit accessible a tous, car beaucoup de ceux qui se font hacker, n'ont pas mis cette protection ultra simple mais indispensable
Je ne vais pas m'étendre sur la totalité du .htaccess, mais seulement sur 2 types.
Le .htaccess est un fichier texte que l'on place dans le repertoire que l'on souhaite protéger.
Soit l'accés est totalement interdit, soit l'accés est permis avec login et password
pour les non initiés, le fichier doit être enregistrer exactement avec le nom de .htaccess
ne pas oublier le point devant htaccess
1 - Accés totalement interdit
avec votre editeur de texte, créer un fichier dans lequel vous ecrivez :
et mettez ce fichier dans le répertoire a protéger
Personne ne pourra acceder a ce repertoire, sauf les applis php tournant avec le meme serveur
pour exemple, sur Projet Omega, les sources et données sensibles ne sont accessible seulement au fichiers PHP.
Ces derniers sont stockés dans le repertoire inc de mon serveur. Un fichier .htaccess "deny from all" en est le gardien.
exemple
2 - Accès avec password
Ce mode de fonctionnement nécéssite 2 fichiers
2a - Fichier .htaccess contenant :
par exemple prenons:
pomega > (dossier accessible par password >)
acces > (dossier contenant le fichier password)
dans le dossier pomega/ je mets le fichier .htaccess :
PerlSetVar AuthFile /acces/htpasswd.txt
AuthName "Identifiez-vous"
AuthType Basic
require valid-user
PS : la ligne : PerlSetVar AuthFile /acces/htpasswd.txt, contient le nom du fichier identifiant, ainsi que le répertoire dans lequel il est stocké
ici : fichier : htpasswd.txt
repertoire : acces/
dans le dossier acces/ je met le fichier htpasswd.txt contenant les identifiants :
omega:cestmoi
BJ:cestluilechef
bison:beteacorne
bien entendu ce fichier acces étant sensible, il faut lui interdire son accessibilité par un .htaccess contenant :
deny from all
lors de l'acces au repertoire pomega, une fenetre s'affichera demandant les identifiants du visiteurs
personnse ne pourra accéder par http au dossier acces.
ce dernier reste toujours accessible par ftp
Si vous souhaitez interdire l'acces a un membre, il suffira de supprimer ses identifiants dans le fichier password.
Vous pouvez aussi lors de l'inscription de vos membres, rajouté les identifiants dans ce fichier password automatiquement par php (simple lecture /ecriture du fichier en question, mais cela est une autre histoire)
VANDUTCH @++
J'ai reçu par MP une demande d'explication sur le fameux .htaccess
Il m'a semblé bon que ma réponse soit accessible a tous, car beaucoup de ceux qui se font hacker, n'ont pas mis cette protection ultra simple mais indispensable
Je ne vais pas m'étendre sur la totalité du .htaccess, mais seulement sur 2 types.
Le .htaccess est un fichier texte que l'on place dans le repertoire que l'on souhaite protéger.
Soit l'accés est totalement interdit, soit l'accés est permis avec login et password
pour les non initiés, le fichier doit être enregistrer exactement avec le nom de .htaccess
ne pas oublier le point devant htaccess
1 - Accés totalement interdit
avec votre editeur de texte, créer un fichier dans lequel vous ecrivez :
deny from all
sauvegardez le avec le nom de : .htaccess
et mettez ce fichier dans le répertoire a protéger
Personne ne pourra acceder a ce repertoire, sauf les applis php tournant avec le meme serveur
pour exemple, sur Projet Omega, les sources et données sensibles ne sont accessible seulement au fichiers PHP.
Ces derniers sont stockés dans le repertoire inc de mon serveur. Un fichier .htaccess "deny from all" en est le gardien.
exemple
2 - Accès avec password
Ce mode de fonctionnement nécéssite 2 fichiers
2a - Fichier .htaccess contenant :
PerlSetVar AuthFile /acces/htpasswd.txt
AuthName "Identifiez-vous"
AuthType Basic
require valid-user
2b - Fichier password contenant les couples login password :AuthName "Identifiez-vous"
AuthType Basic
require valid-user
omega:cestmoi
BJ:cestluilechef
bison:beteacorne
le fichier password sera stocké dans un dossier autre que le dossier pour lequel on souhaite ouvrir l'accèsBJ:cestluilechef
bison:beteacorne
par exemple prenons:
pomega > (dossier accessible par password >)
acces > (dossier contenant le fichier password)
dans le dossier pomega/ je mets le fichier .htaccess :
PerlSetVar AuthFile /acces/htpasswd.txt
AuthName "Identifiez-vous"
AuthType Basic
require valid-user
PS : la ligne : PerlSetVar AuthFile /acces/htpasswd.txt, contient le nom du fichier identifiant, ainsi que le répertoire dans lequel il est stocké
ici : fichier : htpasswd.txt
repertoire : acces/
dans le dossier acces/ je met le fichier htpasswd.txt contenant les identifiants :
omega:cestmoi
BJ:cestluilechef
bison:beteacorne
bien entendu ce fichier acces étant sensible, il faut lui interdire son accessibilité par un .htaccess contenant :
deny from all
lors de l'acces au repertoire pomega, une fenetre s'affichera demandant les identifiants du visiteurs
personnse ne pourra accéder par http au dossier acces.
ce dernier reste toujours accessible par ftp
Si vous souhaitez interdire l'acces a un membre, il suffira de supprimer ses identifiants dans le fichier password.
Vous pouvez aussi lors de l'inscription de vos membres, rajouté les identifiants dans ce fichier password automatiquement par php (simple lecture /ecriture du fichier en question, mais cela est une autre histoire)
VANDUTCH @++