Scoop.it

Hi all,

Comme nous le savons tous, il est important de protéger son site web surtout quand il soit un site web dynamique.

La majorité des développeurs pensent toujours à protéger leurs requêtes POST et GET (évidemment)  mais à mon avis ce n’est pas toujours suffisant: il faudra penser à se protéger contre tout type d’injection y compris l’injection des scripts et bien sur se protéger aussi contre la modification des variables _REQUEST, la modification des variables PHP GLOBALS.. Et pour faire tout cela il nous suffit d’ajouter (de créer?) quelques lignes dans son fichier .htaccess

Attention: une mauvaise utilisation de .htaccess pourra engendrer le blocage de son site. A utiliser avec modération! (L’exemple que je vais donner est testé et est fonctionnel).



Comme nous le savons tous (pas vous?) le fichier .htacces doit toujours commencer par ces deux lignes:

Options +FollowSymLinks       # Pour activer le suivi des liens symboliques
RewriteEngine On       # Pour démarrer le moteur de l’url_rewriting

On commence par mettre les condition de redirection (url_rewriting):

# On bloque tous les liens contenant un <script>:

RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]

# On bloque tous les scripts qui essayent de modifier un variable PHP GLOBALS:

RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]

# On bloque tous les scripts qui essayent de modifier un variable _REQUEST:

RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})

# Tout est est bon! On envoi tout ça vers la page d’accueil avec une erreur 403 Forbidden:

RewriteRule ^(.*)$ index.php [F,L]

Donc pour résumer: Pour mieux protéger son site web, on peut ajouter ces lignes dans son fichier .htacces (ou créer un fichier .htaccess contenant ces lignes):

Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]

Faites en bonne utilisation 🙂


Merci d'évaluer l'article: Protéger son site avec un fichier .htaccess

Score: 4.3 sur 5 Sur un total de 4 avis


Catégorie: .htaccess, Developpement web, Diverses Astuces, featured, PHP, Sécurité informatique
Tags: , , , , , .