Вопрос : В строке адреса ввожу следующее http://localhost/skins/tpl/index.tpl и он мне его скачивает, насколько это безопасно? Можно ли как то защититься от этого?
_____________
Не портите мои нервные клетки, так как в них живут нервные тигры!
Полная Версия: Курсы PHP. Урок №1 от IRBIS-team
| Цитата (ruzarh @ 1.05.2010 - 19:01) |
| Вопрос : В строке адреса ввожу следующее http://localhost/skins/tpl/index.tpl и он мне его скачивает, насколько это безопасно? Можно ли как то защититься от этого? |
Эм ты дальше курс почитай .... там всё написано.
Да и что значит скачивает ?
Если ты имел виду открывает то тогда просто почитай дальше курс.
Если что то другое то поясни что ты имел виду под скачивает
_____________
Подпись отключена за НЕуплату
Скачивает index.tpl мне на комп, именно скачивает(сохраняет как вместе со всеми php кодом).
_____________
Не портите мои нервные клетки, так как в них живут нервные тигры!
_____________
Не портите мои нервные клетки, так как в них живут нервные тигры!
А какой браузер? Вообще то он должен исполняться, как HTML, а не скачиваться.
Да, php в нем видно, но ничего особо страшного в этом нет. Ну а если хочется убрать с глаз долой, нужно в папку tpl положить такой .htaccess
_____________
Если вам недостаточно собственных заблуждений, можно расширить их мнениями экспертов.
Нужно уважать мнение оппонета. Ведь заблуждаться - его святое право.
Настаивал, настаиваю и буду настаивать на своем. На кедровых орешках.
Да, php в нем видно, но ничего особо страшного в этом нет. Ну а если хочется убрать с глаз долой, нужно в папку tpl положить такой .htaccess
deny from all
_____________
Если вам недостаточно собственных заблуждений, можно расширить их мнениями экспертов.
Нужно уважать мнение оппонета. Ведь заблуждаться - его святое право.
Настаивал, настаиваю и буду настаивать на своем. На кедровых орешках.
Google crome! Просто хочется чтобы вообще ничего лишнего выцепить невозможно было! Спасибо попробую!
_____________
Не портите мои нервные клетки, так как в них живут нервные тигры!
_____________
Не портите мои нервные клетки, так как в них живут нервные тигры!
Почему столько файлов стилей? main, style, ...
Вопросик по гостевой на SQL
Зачем в запросе ASC. Что это даёт ?
_____________
Подпись отключена за НЕуплату
/**
* The block of reading of the information
* Блок чтения информации
*/
$res = mysqlQuery("SELECT * FROM `". IRB_DBPREFIX ."guest`
ORDER BY `id` ASC");
Зачем в запросе ASC. Что это даёт ?
_____________
Подпись отключена за НЕуплату
Сортировку по возрастанию.
MySQL так устроена, что совершенно не факт, что строки будут идти по порядку. Для этого и есть сортировки.
_____________
Если вам недостаточно собственных заблуждений, можно расширить их мнениями экспертов.
Нужно уважать мнение оппонета. Ведь заблуждаться - его святое право.
Настаивал, настаиваю и буду настаивать на своем. На кедровых орешках.
MySQL так устроена, что совершенно не факт, что строки будут идти по порядку. Для этого и есть сортировки.
_____________
Если вам недостаточно собственных заблуждений, можно расширить их мнениями экспертов.
Нужно уважать мнение оппонета. Ведь заблуждаться - его святое право.
Настаивал, настаиваю и буду настаивать на своем. На кедровых орешках.
| Цитата (twin @ 8.05.2010 - 11:21) |
| Сортировку по возрастанию. MySQL так устроена, что совершенно не факт, что строки будут идти по порядку. Для этого и есть сортировки. |
Запишу на заметку т.к. у меня в книге по MYSQL за 2006 год нету такого . Ну или я не нашол. Там написано что по умолчанию от меньшего значения к большему. Только если наоборот то там есть DESC. Или мой справочник не полный.
_____________
Подпись отключена за НЕуплату
| Цитата (ohxxx @ 8.05.2010 - 19:15) | ||
Запишу на заметку т.к. у меня в книге по MYSQL за 2006 год нету такого . Ну или я не нашол. Там написано что по умолчанию от меньшего значения к большему. Только если наоборот то там есть DESC. Или мой справочник не полный. |
Не во всей литературе есть вся инфа, я давно вычитал про это в своей ещё первой книге по мусклю, а за урок спасибо. поучительно, освежил знания
Вот что обнаружил. Вернусь все-таки к самому началу.
Конструкция
Пишет:
Хакер все равно поймет, что 404 генерится средствами php (если хостера не попросить в php.ini поставить expose_php = Off)
Может все-таки написать просто, типа:
_____________
1. Чудес не бывает.
2. Дерьмо случается.
Конструкция
if(!defined('IRB_KEY'))в Google Chrome при наборе в строке браузера вот этого http://irbis/modules/main/router.php - не работает (не выдает 404).
{
header("HTTP/1.1 404 Not Found");
exit(file_get_contents('../../404.html'));
}
Пишет:
Ошибка. Ссылка не работает.А при наборе, например http://irbis/modules/main/router_x.php - перебрасывает на главную.
Попробуйте:
Искать в Google: irbis modules main router
Хакер все равно поймет, что 404 генерится средствами php (если хостера не попросить в php.ini поставить expose_php = Off)
Может все-таки написать просто, типа:
if(!defined('IRB_KEY')) die();
_____________
1. Чудес не бывает.
2. Дерьмо случается.
Тут вообще то смысл не столько в том, что хакер не поймет, а в том, что бы выдать 404 добропорядочному юзеру, который ошибся в наборе. Просто остановить скрипт, не дав никакой информации о том, что произошло - не есть красиво.
Если использовать .htaccess, то будет не столь дружелюбная 403.
Кроме того, его нельзя юзать в корне, а именно там находятся значимые файлы - конфига и файл переменных.
Понять, что есть такой файл - мало, да и не так сложно при открытых сорцах)) нужно как то это использовать. Допустим попытаться переопределить переменную в надежде, что включен режим register_globals. А это - настройки сервера.
Я чего хотел этими движениями - сделать скрипт как можно меньше зависящий от этих настроек. Если даже директива окажется случайно включенной, ничего не выйдет. А выйдет 404.
_____________
Если вам недостаточно собственных заблуждений, можно расширить их мнениями экспертов.
Нужно уважать мнение оппонета. Ведь заблуждаться - его святое право.
Настаивал, настаиваю и буду настаивать на своем. На кедровых орешках.
| Цитата |
| выдать 404 добропорядочному юзеру, который ошибся в наборе |
А зачем добропорядочному пользователю набирать такую строку (он про нее по идее вообще не знает): http://irbis/modules/main/router.php ?
Ну и как я сказал, гогл хром не выдает 404.
Т.е. эта конструкция должна работать только тогда, когда пользователь напрямую пытается вызвать этот файл из строки браузера и только тогда!
Если такого файла действительно нет, то мы и так на 404 попадем.
Если мы в корне наберем, например http://irbis/config_x.php - то нас переадресует на главную страницу (т.к. нет такого page).
Ну и как я сказал, гогл хром не выдает 404.
Т.е. эта конструкция должна работать только тогда, когда пользователь напрямую пытается вызвать этот файл из строки браузера и только тогда!
Если такого файла действительно нет, то мы и так на 404 попадем.
Если мы в корне наберем, например http://irbis/config_x.php - то нас переадресует на главную страницу (т.к. нет такого page).
| Цитата |
| Допустим попытаться переопределить переменную в надежде, что включен режим register_globals |
какую переменную (у нас константа вроде)? И если на хосте register_globals=on кто же там размещать сайт будет, это вообще что-то древнее. Я засомневаюсь в качестве услуг такого хостинга))
Выходит так:
1. Эта конструкция защищает от прямого вызова из строки браузера - добропорядочный пользователь это делать не будет и пустую страницу не увидит))). Если это любопытный пользователь (хакер), на тебе пустую страницу. А пустая она или генерированная 404 средствами php - и так понятно, что она есть.
2. Если такой страницы действительно нет, то .htaccess обеспечит нормальное попадание на страницу 404
_____________
1. Чудес не бывает.
2. Дерьмо случается.
Выходит так:
1. Эта конструкция защищает от прямого вызова из строки браузера - добропорядочный пользователь это делать не будет и пустую страницу не увидит))). Если это любопытный пользователь (хакер), на тебе пустую страницу. А пустая она или генерированная 404 средствами php - и так понятно, что она есть.
2. Если такой страницы действительно нет, то .htaccess обеспечит нормальное попадание на страницу 404
_____________
1. Чудес не бывает.
2. Дерьмо случается.
.htaccess не даст 404 при включенном рерайте.
Вообще это камень предткновения, очень много вопросов вокруг этой строчки.
По идее так никто не задуряется конечно, пишут
но там же волею судеб может и не он оказаться. А нейтральная 404 - пусть висит.
Впрочем это дело на любителя, ни кто же не заставляет)))
Делай так, как считаешь нужным.
_____________
Если вам недостаточно собственных заблуждений, можно расширить их мнениями экспертов.
Нужно уважать мнение оппонета. Ведь заблуждаться - его святое право.
Настаивал, настаиваю и буду настаивать на своем. На кедровых орешках.
Вообще это камень предткновения, очень много вопросов вокруг этой строчки.
По идее так никто не задуряется конечно, пишут
die('Пшол вон, злой хакер!');
но там же волею судеб может и не он оказаться. А нейтральная 404 - пусть висит.
Впрочем это дело на любителя, ни кто же не заставляет)))
Делай так, как считаешь нужным.
_____________
Если вам недостаточно собственных заблуждений, можно расширить их мнениями экспертов.
Нужно уважать мнение оппонета. Ведь заблуждаться - его святое право.
Настаивал, настаиваю и буду настаивать на своем. На кедровых орешках.
Вообще я тут недавно скачал программу, в которой задаешь адрес сайта, и она мигом делает его копию. Мне она по делу была нужна, поэтому относительно того любого ли сайта ею можно копию сделать - я не знаю. Но относительно того который мне был нужен ДА (с картнками, css, js, php - файлами) 
Программа Teleport Ultra v1.56...
Программа Teleport Ultra v1.56...
Здесь расположена полная версия этой страницы.