Slavemaster
16.01.2015 - 21:12
Всем привет!Извините за вопрос чайника, я только начинаю разбираться во всем, ибо сам программирую на дельфи, но приходится переквалифицироваться иногда
Есть простенький php скрипт для передачи файлов сотрудников на веб-сервер Apache под управлением Linux.
Просто страничка с кнопкой которая передает скрипту переменную $_FILES и затем стандартным move_uploaded_file загруженный файл из временной папки перемещается в постоянную.
Я имею доступ ко всему серверу, и могу поставить конечную папку для загрузки файлов например в etc/myprog/uploads или же оставить ее в корне сайта и закрыть к ней доступ пользователям с помощью .htaccess, ибо в этом случае они могут набрать путь к ней в адресной строке браузера.
Вопрос, а какая папка безопаснее? Закрытая .htaccess в корне сайта или же помещенная вне корневой папки сайта в одной из рабочик папок сервера (пример etc)? Куда проще кулхацкерам получить доступ?
Спасибо
AllesKlar
16.01.2015 - 22:24
Если файлы не нужны для отображения контента (изображения на странице, например), то лучше за пределы www
Если будет получен физический доступ к папке, то без разницы, есть ли там .htaccess или нет. Так же, если папка за пределами www Физический доступ - это физический доступ, тут играют роль права пользователя.
Запрет в .htaccess всего лишь сообщеает веб-серверу, что ему туда нельзя.
_____________
[продано копирайтерам]
Игорь_Vasinsky
16.01.2015 - 22:27
| Цитата |
| или же оставить ее в корне сайта и закрыть к ней доступ пользователям с помощью .htaccess, ибо в этом случае они могут набрать путь к ней в адресной строке браузера. |
можно даже тупо index.html положить как заглушку - но самое безопасное - как сказано выше.
_____________
HTML, CSS (Bootstrap), JS(JQuery, ExtJS), PHP, MySQL, MSSql, Posgres, (TSql, BI OLAP, MDX), Mongo, Git, SVN, CodeIgnater, Symfony, Yii 2, JiRA, Redmine, Bitbucket, Composer, Rabbit MQ, Amazon (SQS, S3, Transcribe), Docker
Slavemaster
16.01.2015 - 22:46
| Цитата (AllesKlar @ 16.01.2015 - 22:24) |
Так же, если папка за пределами www Физический доступ - это физический доступ, тут играют роль права пользователя.
|
Спасибо! Тогда еще вопрос, папка где содержится корень сайта у меня закрыта рутовыми правами, если разместить uploads в ней, то скрипты все равно ее смогут обработать ибо находятся там-же, в корне. При попытке же вытащить uploads в etc/myprogram я вынужен снять с с etc/myprogram рутовые права и установить обычные пользовательский для чтения\записи, ибо скрипты в противном случае не имеют доступ к этой папке. и любой зашедший в линух юзер не под рутом (по всей видимости даже удаленно через ssh, хотя могу ошибаться можно ли зайти не под рутом, через тот-же putty) сможет поиметь доступ к этой папке... а в случае с размещением в корне сайта папка дополнительно защищена рутовыми правами. Блин совсем запуталсцо что из этого меньшее из зол.
Игорь_Vasinsky
16.01.2015 - 22:50
ну сказали же - выше www (корня) ложи файлы (дай доступ) - хостер никак из урла не даст к ней обратиться.
_____________
HTML, CSS (Bootstrap), JS(JQuery, ExtJS), PHP, MySQL, MSSql, Posgres, (TSql, BI OLAP, MDX), Mongo, Git, SVN, CodeIgnater, Symfony, Yii 2, JiRA, Redmine, Bitbucket, Composer, Rabbit MQ, Amazon (SQS, S3, Transcribe), Docker
Slavemaster
16.01.2015 - 22:57
Жаль что нельзя и etc/myprog закрыть рутовыми правами в таком случае, ибо парочка бандерлогов с шаловливыми ручонками тоже имеет доступ ко всем папкам разрешенным пользователям, но не имеет рутовых прав. Спасибо за ответы
Быстрый ответ:
Powered by dgreen
Здесь расположена полная версия этой страницы.