En plus c’est Français. Et je soutiens toujours les produits issus le de l’hexagone. C’est comme ca ; je suis chauvin.
Bon ; voilà le problème qui m’est apparu (comme une révélation) cette semaine. En utilisant une telle architecture ; il était possible à n’importe qui de charger ; puis d’exécuter des fichiers PHP sur le serveur. C’est ennuyeux comme vous pouvez l’imaginer.
Je suis sur qu’a première vu ; vous vous dites « mais pourquoi l’équipe de Dotclear n’a pas interdit de charger des fichiers .php et etc ». Oui mais moi je veux pouvoir charger ce type de fichiers sur mon blog ! Je veux pouvoir proposer des fichiers .php à mes visiteurs. En lecture, sans qu’ils ne soient interprétés par le moteur PHP.
La solution c’est donc vite imposé. Il suffisait de dire à apache de compétemment désactiver le moteur php sur les répertoires publics des divers blogs utilisateurs.
Pour aller plus vite ; et pour être plus radical ; nous avons donc décidé de modifier notre httpd.conf (mais on pourrais utiliser des fichiers .htaccess pour désactiver php blog après blog) :
<Directory %blogspath%/*/public>
php_value engine off
AddType text/plain .php .phtml .php3 .php5 .phps .txt
</Directory>