Zend FR

Bonjour,

Le fait d'appeler la classe dans la vue ne change rien, hormis la maintenabilité de ton application.

Il faut que tu dises à l'autoload de chercher MyClass. Pour celà, dans ton application.ini tu peux définir :

autoloaderNamespaces[] = "MyClass_"

Il est possible de faire la même chose avec une méthode dans le bootstrap, mais le ini est recommandé pour faciliter les migrations en version 2 du framework.

Euh ? J'ai pas tout compris là...

Si la personne a accès à ton application.ini, elle a aussi accès à ton Bootstrap.php, donc je ne vois pas trop en quoi le Bootstrap.php est plus sûr...
Si ton serveur web et ton vhost sont bien configurés, aucun des deux fichiers n'est accessible sans passer par Zend.

Concernant le fichier application.ini, je ne vois pas en quoi il serait moins sécurisé que le reste...

L'avantage, dans le cas où tu utilises la structure de base du framework, c'est que ton application.ini, ton bootstrap.php et tout le reste des fichiers hors de ceux contenus dans public (ou peu importe comment il est nommé dans ton archi à toi), ce qui fait que normalement par défaut tu es plus sécurisé que sur la plupart des sites.

Je vois pas comment tu pourrais avoir une faille à ce niveau mise a part avec un gros probleme de conception...mais la c’est plutôt le développeur qui aurait une faille dans sa tête xD
Mais meme en admettant une faille permettant l'accès à ce fichier tu aurais accès au répertoire application/ et donc un simple clic droit 'enregistrer sous' sur le bootstrap et y'à plus du tout d'histoire de fichier interprété par le serveur.

Ce que dit Shadypierre, c'est que si tu vas sur http://tonsite/application/configs/ ou http://tonsite/application/, tu auras la liste des fichiers et là tu peux faire un clic droit et enregistrer sous.

D'un autre côté, comme je le faisais remarquer, tu n'as normalement pas accès à tes fichiers par une adresse dans ce genre, ton document root étant le dossier public.
Le seul risque dans cette architecture serait l'inclusion de ton application.ini dans une vue à l'aide d'une faille xss.

...Tu as un très gros probleme de conception... Tu ne dois en aucun cas pouvoir accéder à http://tonsite/application/configs/application.ini

C’est pas une faille de pouvoir accéder à ce dossier c’est une bêtise de conception. La je sais pas quoi dire de plus car tu semble pas vouloir entendre raison. Même si je comprend bien ce que tu veux dire, tu ne comprend simplement pas qu'il ne s'agit pas d'une faille, mais simplement d'une incompréhension de ta part dans la manière de configurer ton site.

la seule vrai solution c'est de faire comme je fais, mettre les .INI en dehors de l'architecture du root.

Après chaqu'un est vixé sur son avis donc je pense qu'on va arrêter d'en débattre..

Dernière modification par thebarbarius (22-07-2011 21:44:38)