Yop,
dans /tmp et /config, on a un .htaccess avec un deny from all, très bien (en plus, il se régénère tout seul en cas dans le cas où il disparait, super).
Que pensez vous d'un htaccess qui interdirait totalement PHP dans /IMG et /local ?
Ça pourrait bloquer des usages légitimes ?
<Files *.php>
deny from all
</Files>
hello,
je connais un seul cas : dans IMG, le plugin feuillederoute dépose un fichier php : Au pire on peut changer mais faudra bien le mettre quelque part, ce fichier, mais où donc ?
IMG avait été choisi car ce n’est pas un fichier temporaire.
Il faudrait peut-être faire un dossier IMG/php comme on a jpg et png, et autoriser ces fichiers uniquement là ?
Ce serait plutôt à placer dans /config/fichiers, comme Formidable. non ?
je savais pas que formidable faisait ça... donc oui bien sûr, je regarde comment faire ça sans rien perdre.
j'allais dire cela : config/fichiers pour que ce soit permanent mais inaccessible
mais je sais pas le besoin exact de feuillederoute
cela étant, pour revenir à la question de départ : comment est-ce qu'un fichier .php pourrait se retrouver dans IMG? Je veux dire si cela arrive à ce stade, c'est qu'il y a une faille alleurs, non ?
A priori oui, mais ça permet de fermer une porte.
En fait, c'est surtout utile si les droits d'écriture d'Apache sont bien gérés, c'est à dire s'il ne peut écrire que dans /config/fichiers, /IMG, /local et /tmp.
Mais c'est vrai que ce n'est pas le cas d'une installation standard.
Du coup, ça limite l'intérêt d'avoir ça en standard, c'est vrai.