écriture en php de fichiers et sécurité de cette méthode

bonjour à tous, et en passant merci à alsacréation qui m'a bien aidé dans la phase de conception xhtml/css de notre site.

Voilà ma question: nous créons un site web qui a vocation a beaucoup se développer dans l'avenir, mais pour l'instant c'est système-D et c'est moi qui joue le rôle d'informaticien de service. Je me suis mis au php il y a trois semaines pour faciliter les mises à jour de notre site; et j'ai développé avec les moyens du bord une petites adminsitration article fonctionnant sur le pirncipe suivant:

-on remplit le formulaire
-je récupère les variables que j'insère dans le "gabarit html" de la page.
-pour finir je créer directement un nouveau fichier.php contenant le résultat final.

Est ce que cette méthode pose un quelconque problème de sécurité pour le site, par rapport aux autorisations d'écritures de fichier?
désolé si la question est vague étrange ou approximative mais je suis dans le flou étant débutant dans ce domaine.

edit:désolé j'ai vu trop tard que ce forum n'était pas destiné au débutant, je m'excuse donc pour ce message et j'ai averti un modérateur qui viendra le supprimer.
Modifié par nyl (10 Feb 2007 - 16:58)

Bonjour nyl et bienvenue sur Alsacréations,

a écrit :
edit:désolé j'ai vu trop tard que ce forum n'était pas destiné au débutant, je m'excuse donc pour ce message et j'ai averti un modérateur qui viendra le supprimer.

Depuis quand les débutants n'auraient-ils pas le droit de poster ? Je ne sais pas où tu as vu cela mais n'en ait cure, nous ne demandons à personne d'avoir un bon niveau... manquerait plus que ça !

Pour ta question, celle-ci n'est malheureusement pas vraiment en rapport avec le thème du forum mais... arf... flute !

Si tu t'y prends comme il faut, ça ne pose pas de problème. Il faut juste que tu échappes les caractères spéciaux via htmlspecialchars par exemple et si la directive magic_quotes est activée, il faut ajouter un stripslashes. Concernant les autorisations d'écriture, seul toi doit pouvoir le faire et non les utilisateurs. Un chmod 644 devrait convenir...

salut, oui pour le thème j'ai tout faux car je n'avais pas vu le thread épinglé de ce forum avant de poster, d'où ma demande de suppression de message

a écrit :
Depuis quand les débutants n'auraient-ils pas le droit de poster ? eek Je ne sais pas où tu as vu cela mais n'en ait cure, nous ne demandons à personne d'avoir un bon niveau... manquerait plus que ça !

heu j'ai cru comprendre ça dans ledit thread épinglé:

a écrit :
Le but de ce salon n'est pas de répondre à des questions portant sur les tutoriels Alsacréations PHP (le salon "Service Après Vente" est là pour ça), vos premiers pas en PHP, ou l'apprentissage des technologies serveurs en général.

Pour ces questions, merci de vous adresser à un site plus approprié

en tous cas merci de beaucoup d'avoir quand même répondu et de ton tuyau sur le CHMOD

Je ne suis pas certain d'avoir bien compris ????
Tu veux créer une zone d'admin dans laquelle tu vas, via un formulaire créer des fichiers php éxécutables ????

Si c'est bien ça, la question est :
Quel est l'intérêt ?
Quand on veut aller au devant d'ennuis on ne s'y prend pas autrement.

Si c'est toi l'admin qui a accès à ce système, pourquoi ne pas coder directement la page et la placer comme un grand sur via ton ftp ?
Pas de risque, pas de manip online.

""Je ne suis pas certain d'avoir bien compris ????
Tu veux créer une zone d'admin dans laquelle tu vas, via un formulaire créer des fichiers php éxécutables ????

Si c'est bien ça, la question est :
Quel est l'intérêt ?""

euh excuse ma nullité chronique qu'appelles tu exactement un fichier php "exécutable"?

l'intérêt est de créer une interface pour que n'importe quel membre puisse rentrer rapidement un nouvel article sans bidouiller le code html: donc ils remplissent un formulaire qui, une fois validé, crée directement le fichier de la page dans le bon répertoire avec le bon lien; transmetà la base de données toutes les informations dont nous avons besoin par la suite, etc...

tu penses que faire ça en ligne pose donc un gros problème? parce que c'est effectivement le moment de m'arrêter
Modifié par nyl (11 Feb 2007 - 11:45)

Salut.

En fait, la page que tu crées est une collection de liens vers des ressources ? Pourquoi ne pas utiliser une base de données pour stocker les liens des utilisateurs ?

a écrit :
En fait, la page que tu crées est une collection de liens vers des ressources ?

EDIT: pour faire le lien avec le thème du forum, à la base j'ai fait ce systeme pour pouvoir conserver le code de ma page propre, notamment en plaçant les images par règles de style (ce que tous les CMS ne font visiblement pas, loin de là)

heu je crois pas qu'on puisse dire ça, c'est une page de test de jeux-videos par exemple. nous sommes trois "rédacteurs", et on devra pouvoir rentrer rapidement un nouvel article car on va avoir beaucoup de taff. ce systeme fonctionne comme un petit CMS qui permet de rédiger de nouveaux articles et de le classer dans une catégorie précise etc...

préalablement je fais remplir une fiche pour rentrer le lien des images dans la bdd, et également indiquer des infos tel que "éditeur de jeu, développeur, année de sortie, version française, site officiel, genre, nombre de joueurs etc...) (une vingtaines de champ je crois).

puis on doit rentrer l'article, dont certaines parties se remplissent automatiquement en cherchant les infos sur le jeux rentrés précédemment, et où on doit placer les images, taper une légende etc...

ensuite un fichier est crée automatiquement dans le répertoire spécifié et directement consultable par l'internaute car un lien vers l'article sera généré sur la page d'accueil également. Je sais pas si c'esttrès clair

en tous cas je n'arrive pas à savoir si ce système D ne pose pas de problème de sécurité avec ces histoires d'autorisations d'écriture...

en tous cas merci beaucoup pour vos réponses
Modifié par nyl (11 Feb 2007 - 12:06)