Comme vous le savez ; notre plateforme de blogs utilise l’excellent moteur libre Dotclear. Multiutilisateurs ; multi blogs ; offrant la possibilité d’ouvrir au public les inscriptions avec un simple plugin. C’était pour nous le choix idéal.

En plus c’est Français. Et je soutiens toujours les produits issus le de l’hexagone. C’est comme ca ; je suis chauvin.

Bon ; voilà le problème qui m’est apparu (comme une révélation) cette semaine. En utilisant une telle architecture ; il était possible à n’importe qui de charger ; puis d’exécuter des fichiers PHP sur le serveur. C’est ennuyeux comme vous pouvez l’imaginer.

Je suis sur qu’a première vu ; vous vous dites « mais pourquoi l’équipe de Dotclear n’a pas interdit de charger des fichiers .php et etc ». Oui mais moi je veux pouvoir charger ce type de fichiers sur mon blog ! Je veux pouvoir proposer des fichiers .php à mes visiteurs. En lecture, sans qu’ils ne soient interprétés par le moteur PHP.

La solution c’est donc vite imposé. Il suffisait de dire à apache de compétemment désactiver le moteur php sur les répertoires publics des divers blogs utilisateurs.

Pour aller plus vite ; et pour être plus radical ; nous avons donc décidé de modifier notre httpd.conf (mais on pourrais utiliser des fichiers .htaccess pour désactiver php blog après blog) :

<Directory %blogspath%/*/public>
  php_value engine off
  AddType text/plain .php .phtml .php3 .php5 .phps .txt
</Directory>