Sécurité d'un fichier externe - Page 1

Hello ^^
Voilà j'aimerais faire un truc hyper simple (pour m'amuser) où je stocke le hi-score d'un jeu flash sur mon serveur. Donc comme je m'y connais que dalle j'ai fait un fichier PHP qui prend en argument le score et le pseudo.
Le score je l'ai encodé, il contient le score réel ainsi qu'un nombre obtenu à partir de calculs sur le score.
Ma page PHP récupère le score et le pseudo, il extrait le vrai score du chiffre fourni et vérifie grâce à ça que ce chiffre correspond (= c'est mon flash qui l'a généré), le pseudo lui n'est pas encodé.
Le problème vient qu'ensuite si ce score est le meilleur, il est écrit dans un fichier .txt en clair sur le serveur (ça pourrait être un .bin, mais vous voyez la combine quoi, c'est pas du tout protégé de ce côté là).
Je voulais savoir si ça pourrait être considéré comme une faille, ou si normalement seul mon script PHP (voire un utilisateur ayant accès au FTP mais c'est pas le pb) peut modifier ce fichier?
Merci

normalement si tu mets les bons droits, ou si tu places ton fichier .txt à un endroit non accessible par http, il ne devrait pas trop y avoir de problèmes

Heu?
En fait j'y accède via ma page donc pas besoin d'y accéder en extérieur oué. Par contre il me semble que le fichier est de toute façon accessible en http non? Il est dans le même répertoire que mon PHP et vu la config de mon serveur j'imagine que j'ai pas moyen de le cacher... non?

Justement faut pas le mettre dans le même répertoire que ton php. Je ne sais pas comment est configuré ton serveur, mais par exemple chez certains prestataires on a un dossier "www" qui contient tous les fichiers accessibles par le web, et un dossier "data" qui lui ne l'est pas. Il suffit de mettre ton .txt dans le second pour qu'il ne soit lisible et modifiable que par tes scripts.

Ok, et ensuite il est accessible par un truc du style /data/fichier.txt? (je suis un peu confus vu qu'il n'a pas d'adresse quoi)
Mais malgré ça je me demande comment on peut modifier le fichier de l'extérieur? Normalement on peut juste l'afficher et le modifier il faut être propriétaire, non?
Est-ce qu'un autre serveur qui exécute un script PHP pourrait faire un fopen en écriture sur mon fichier? (lecture c'est pas grave il verra genre 1200\nBrunni)

Bah effectivement il a pas d'adresse : c'est le but ^^ Mais tu peux y accéder avec un chemin unix classique, genre "/data/fichier.txt", ou "../data/fichier.txt", ou que sais-je encore. Et il sera modifiable par les scripts qui sont sur le même serveur, mais pas directement par un utilisateur externe.

au pire, tu le mets dans un sous-dossier, avec un fichier .htaccess qui contient juste deny from all

En fait c'est pas mon serveur donc je peux pas faire exactement ce que je veux
La personne m'a bien gentiment donné un dossier, je vais pas aller foutre ma merde ailleurs, surtout pour un petit jeu comme ça qui est juste fait pour apprendre
Je vais essayer la solution à Flanker, merci à vous!