Autor Zpráva
Anonymní
Profil *
když na webu používám přihlašování a přihlašovací údaje mám uloženy jako proměnné v souboru nastaveni.php, je možné, aby se k nim někdo dostal?

Například mě napadá možnost využití funkce require("nastaveni.php"); a poté pomocí echo zkoušet vypsat hodnoty jednotlivých proměnných...

Může být jako parametr této funkce použit PHP skript zadaný absolutní adresou, třeba www.seznam.cz/nastaveni.php?

Jak se dají proměnné zabezpečit tak, aby se k nim dostaly jen určité skripty?
Hugo
Profil *
Nejjednodussi je dat do souboru nastaveni.php podminku napr.
if ($security != 'ok') exit;

a do kazdeho souboru, ktery potrebuje nacist nastaveni.php vlozit pred require('nastaveni.php') radek:
$security = 'ok';
Yuhů
Profil
Odpovídám původnímu tazateli:

z jiných serverů includovat php soubory nelze. Přicházejí už vyhodnocené (includy s nastavením tedy typicky prázdné). Nemusíš se tedy bát, že ti někdo vzdáleně načte php soubor a vyhodnotí si ho. Tvůj server jej prostě před odesláním vyhodnotí.

Jiná věc je bezpečnost na vlastním serveru před jinými uživateli. Teoreticky mohou includovat /www/var/htdocs/user/nastaveni.php, což by se ovšem mělo odchytit na úrovni práv systému. Ale to je řídký problém a myslím, že na to se neptáš.
um
Profil *
Zapomněl jsem se v úvodním článku podepsat. S tou proměnnou security to není špatný nápad... Taky ta informace o funkci include mě celkem uklidnila... takže dík :-)
PUnkraC
Profil
Anonymní
no pri prihlasovani na stranku by som si urcite radsej ulozil premenne do session premennej, ktora sa uklada na serveri a viem ze sa k nej nikdy nikto nedostane
Toto téma je uzamčeno. Odpověď nelze zaslat.