может deny from all ?
Полная Версия: Безопасность конфигурационного файла
Привет, у меня в корне сайта лежит конфигурационный файл. Как его защитить от посторонних лиц? На прямую к нему обратиться не получиться, у меня все идет через индексный файл. все приложение с одной точкой входа. так что если в адресной строке прописать путь к файлу то у меня просто перекинет на страничку с ошибкой 404. Но я всеравно не уверен, что это безопасно. может deny from all ?
может deny from all ?
| Цитата (user_name @ 9.09.2015 - 00:29) |
| Привет, у меня в корне сайта лежит конфигурационный файл. |
Убери его оттуда на уровень выше и будет тебе счастье :) Не надо будет никак закрывать.
Типа такой структуры можно сделать, например:
- data
- config
- web
- css
- js
...
web - это доступные из веба данные
data - отдельный каталог на том же уровне, что и web. Для скриптов через include() оттуда всё доступно (включая все вложенные папки), а через веб не доступно.
В принципе, в каталоге data можно расположить практически все файлы ПХП, темплейты, конфиги и прочую лабуду, к которой не нужен доступ из веба. А в web оставить CSS, картинки, JS, .htaccess и index.php.
_____________
* Хэлп по PHP
* Описалово по JavaScript
* Хэлп и СУБД для PostgreSQL
* Обучаю PHP, JS, вёрстке. Интерактивно и качественно. За разумные деньги.
* "накапливаю умение телепатии" (С) и "гуглю за ваш счет" (С)
sergeiss
Так и сделал. И теперь не понимаю, если это такая простая и сто процентная защита, то почему придумывают сложные скрипты проверки для загружаемых файлов на сайт.?
Так и сделал. И теперь не понимаю, если это такая простая и сто процентная защита, то почему придумывают сложные скрипты проверки для загружаемых файлов на сайт.?
user_name
а причем тут загружаемые файлы ? вам ответили по вопросу доступа к файлам/папкам через веб.
Загружаемые файлы должны проверяться От и До, потому что даже если вы все вынесете из корня , без должной проверки вам можно будет залить кучу разных "интересных" вещей , которые в итоге будут у вас подгружаться через include в index.php, либо подгружать сторонние скрипты и т.д.
_____________
Прогноз на следующие 5 лет : Россия, Китай - две величайшие державы.
США в Ж*пе. Справедливость восторжествует. )
а причем тут загружаемые файлы ? вам ответили по вопросу доступа к файлам/папкам через веб.
Загружаемые файлы должны проверяться От и До, потому что даже если вы все вынесете из корня , без должной проверки вам можно будет залить кучу разных "интересных" вещей , которые в итоге будут у вас подгружаться через include в index.php, либо подгружать сторонние скрипты и т.д.
_____________
Прогноз на следующие 5 лет : Россия, Китай - две величайшие державы.
США в Ж*пе. Справедливость восторжествует. )
А зачем конфигурационный файл защищать?
Делаешь его config.php, в нем только инициализация переменных и констант. Ну обратятся к нему на прямую, и что? Исполняемого кода в нем нет, от того, что в $db_password запишется соответствующее значение, ничего не произойдет
_____________
[продано копирайтерам]
Делаешь его config.php, в нем только инициализация переменных и констант. Ну обратятся к нему на прямую, и что? Исполняемого кода в нем нет, от того, что в $db_password запишется соответствующее значение, ничего не произойдет
_____________
[продано копирайтерам]
AllesKlar
А нет никакой возможности вытащить пароль? Или поменять.
А нет никакой возможности вытащить пароль? Или поменять.
| Цитата |
| Загружаемые файлы должны проверяться От и До, потому что даже если вы все вынесете из корня , без должной проверки вам можно будет залить кучу разных "интересных" вещей , которые в итоге будут у вас подгружаться через include в index.php, либо подгружать сторонние скрипты и т.д. smile.gif |
Кто мне на этом форуме сказал, что за папкой www все безопасно,тогда вопрос шел как раз о загружаемых файлов. Еще интересно стало как злоумышленник узнает путь к index.php
| Цитата (user_name @ 15.09.2015 - 21:25) |
| А нет никакой возможности вытащить пароль? Или поменять. |
Нет такой возможности.
Только если есть физический доступ к файлу, но то уже другая песня.
_____________
[продано копирайтерам]
| Цитата |
| Кто мне на этом форуме сказал, что за папкой www все безопасно,тогда вопрос шел как раз о загружаемых файлов. Еще интересно стало как злоумышленник узнает путь к index.php |
Не знаю кто это сказал и что означает "ВСЕ безопасно" в данном контексте, но если бы все проблемы с безопасностью решались выводом файлов из под www - жизнь программиста бы очень упростилась ) . Надеюсь вы понимаете что это совсем не так. )
_____________
Прогноз на следующие 5 лет : Россия, Китай - две величайшие державы.
США в Ж*пе. Справедливость восторжествует. )
куча надуманных проблем
вынос за пределы www 100% защитит файл конфига от доступа через web, но как ни крути никогда не защитит от физического доступа к файлу, например на шаред хостинге где не знают про то как настраивать права доступа и тд, или ваш ssh или ftp пароль взломали
загрузка файлов это отдельная песня и про них даже не стоит вспоминать в контексте вопроса
вынос за пределы www 100% защитит файл конфига от доступа через web, но как ни крути никогда не защитит от физического доступа к файлу, например на шаред хостинге где не знают про то как настраивать права доступа и тд, или ваш ssh или ftp пароль взломали
загрузка файлов это отдельная песня и про них даже не стоит вспоминать в контексте вопроса
Здесь расположена полная версия этой страницы.