Autor | Zpráva | ||
---|---|---|---|
ondrakrajcik Profil * |
#1 · Zasláno: 3. 3. 2014, 17:05:39
Zdravím,
napadla mě jedna otázka ohledně bezpečnosti. Když mám web a v hlavním adresáři mám nějaký ten soubour index.php, pak tam mám třeta adresář "images" a adresář "phpScripts". Ve složce "phpScripts" mám svoje php skripty, které nechci aby si někdo mohl prohlížet. Je nějak možné, aby se k nim někdo nějak dostal a stáhl si je do počítače? Pokud ano jak? Určitě na to bude nějaký program Lze se proti tomu nějak chránit? jak? .htaccess? |
||
Fisir Profil |
#2 · Zasláno: 3. 3. 2014, 17:11:21
Reaguji na ondrakrajcika:
Pokud vše funguje tak, jak má, případný útočník se dostane jen k tomu, co tyto skripty vypíší, nikoli k jejich zdrojovému kódu. Pokud se však nějakým nedopatřením poškodí modul PHP (špatná konfigurace), bude možné skripty stáhnout jako klasické textové soubory, tedy zobrazit jejich zdrojový kód. Řešením by mohlo být vytvoření .htaccess u ve složce „phpScripts“ (mimochodem, obvykle je spolehlivější pojmenovávat složky a soubory bez diakritiky a malými písmeny) s tímto obsahem:
order deny, allow deny from all |
||
janbarasek Profil |
#3 · Zasláno: 3. 3. 2014, 17:28:56
ondrakrajcik:
pro všechny případy tomu adresáři můžeš přes funkci chmod nastavit tak omezené práva, že se tam skoro nikdo nedostane. Otázkou pak ale zůstává, jak se k tomu dostaneš ty. :) |
||
Joker Profil |
#4 · Zasláno: 3. 3. 2014, 18:37:39
ondrakrajcik:
„Je nějak možné, aby se k nim někdo nějak dostal a stáhl si je do počítače?“ Musel by využít nějakou chybu a odstavit zpracování PHP, nebo se dostat k FTP (ale proti někomu, kdo má přístup na FTP, se prakticky chránit nelze). Krátce by to šlo popsat termínem hack. „Lze se proti tomu nějak chránit? jak? .htaccess?“ Asi nejbezpečnější způsob je PHP skripty umístit nad documentroot. Tj. adresář phpScripts posunout výš, než kam je nasměrovaná ta doména (na FTP by byly třeba adresáře phpScripts a www, přičemž doména by byla nasměrovaná na adresář www). Pak nebude vůbec možné se na ty skripty přes HTTP dostat (ostatní PHP skripty se k nim pořád dostanou přes souborový systém). |
||
Časová prodleva: 10 let
|
0