Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770
Форумы портала PHP.SU :: Версия для печати :: Безопасность....
Форумы портала PHP.SU » Разное » Прочее » Безопасность....

Страниц (1): [1]
 

1. Weber - 28 Ноября, 2014 - 01:05:30 - перейти к сообщению
Задача стоит такая. Перенести скрипты туда, чтобы пользователь не смог узнать об этом каталоге, скачать эти скрипты и тп...

По началу хотел на свой пк, необходимо подключаться к внешней бд. Тогда необходимо будет разрешить доступ к бд из вне....

Думаю создать еще одну дерикторию сайта, то есть еще один сайт. Запретить индексацию, доступ с одного или с подсети только.

Есть ли еще варианты, ну к примеру возможно ли вынести папку с php скриптами. Туда , где скажем модуль phpadmin. Будет ли это безопасно, возможно ли будет скачать просматривать php код...
Подскажите как поступить , найти наиболее надежный вариант...
2. DelphinPRO - 28 Ноября, 2014 - 08:00:07 - перейти к сообщению
на уровень выше DOCUMENT_ROOT и все дела
(Добавление)
ну или в отдельную папку в DOCUMENT_ROOT с запретом доступа из вне в htaccess

CODE (text):
скопировать код в буфер обмена
  1. deny from all
3. Мелкий - 28 Ноября, 2014 - 08:06:03 - перейти к сообщению
В DOCUMENT_ROOT должен быть всего один php-файл - index.php ака front controller. Всё остальное - вне пределов веб-сервера, обычно уровнем выше document root.
4. Weber - 28 Ноября, 2014 - 12:25:43 - перейти к сообщению
Не совсем понимаю. То есть я должен создать еще одну папку в папке www или можно выше? Будут ли работать скрипты?
(Добавление)
На данный момент такой путь до сайта
var/www/user/data/www/site
5. DelphinPRO - 28 Ноября, 2014 - 12:29:41 - перейти к сообщению
Weber пишет:
или можно выше?

нужно выше
Weber пишет:
Будут ли работать скрипты?

а это уже от программиста зависит Улыбка
6. Weber - 28 Ноября, 2014 - 13:08:22 - перейти к сообщению
в sites-available/default и default-ssl
Прописаны следующие пути. /var/www

CODE (htmlphp):
скопировать код в буфер обмена
  1. <VirtualHost *:80>
  2.         ServerAdmin webmaster@localhost
  3.  
  4.         DocumentRoot /var/www
  5.         <Directory />
  6.                 Options FollowSymLinks
  7.                 AllowOverride None
  8.         </Directory>
  9.         <Directory /var/www/>
  10.                 Options Indexes FollowSymLinks MultiViews
  11.                 AllowOverride None
  12.                 Order allow,deny
  13.                 allow from all
  14.         </Directory>
  15.  
  16.         ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
  17.         <Directory "/usr/lib/cgi-bin">
  18.                 AllowOverride None
  19.                 Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
  20.                 Order allow,deny
  21.                 Allow from all
  22.         </Directory>
  23.  
  24.         ErrorLog ${APACHE_LOG_DIR}/error.log
  25.  
  26.         # Possible values include: debug, info, notice, warn, error, crit,
  27.         # alert, emerg.
  28.         LogLevel warn
  29.  
  30.         CustomLog ${APACHE_LOG_DIR}/access.log combined
  31. </VirtualHost>


Я не смогу создать папку выше деректории 'www'
7. DeepVarvar - 28 Ноября, 2014 - 13:12:26 - перейти к сообщению
/home/user/test.php (echo 'Test!';)
/var/www/user/public_html/index. php (require_once '/home/user/test.php';)

?
8. Weber - 28 Ноября, 2014 - 13:21:22 - перейти к сообщению
То есть вы хотите сказать так.
Создать переместить php файлы в
/home/user/test/test.php
А уже с сайта подгрузить индекс , который на пару каталогов выше?
/var/www/user/public_html/site/i ndex. php (require_once '/home/user/test/test.php';)

В чем плюс такого способа, действительно безопасность будет выше?
9. Viper - 28 Ноября, 2014 - 13:24:22 - перейти к сообщению
Weber пишет:
В чем плюс такого способа, действительно безопасность будет выше?
гемороя будет больше и только.

Вообще не понимаю зачем такие извращения.
Weber пишет:
Перенести скрипты туда, чтобы пользователь не смог узнать об этом каталоге, скачать эти скрипты и тп...
если у вас юзер может смотреть исходники php-скриптов с веба или другой юзер в системе имеет к ним доступ, то это проблемы кривизны рук админа, а не сервера в целом.
10. Weber - 28 Ноября, 2014 - 14:06:13 - перейти к сообщению
Пользователь не может просматривать php код, скачивать скрипты и тп.
Я просто хочу понадежнее спрятать администр.модуль. И безопасность повысить, вдруг кто захочет скачать php скрипты с сервера(удастся кому). Чтобы хотя бы не скачали админ центр.

Допустим пользователь скачал скрипты, у него есть скрипт в котором прописан путь.
Сможет ли он достать и те скрипты которые расположены по адресу
CODE (htmlphp):
скопировать код в буфер обмена
  1. '/home/user/test/test.php';


К стати какая та есть уязвимость в bash, у всех кто еще не закрыл. Хостер отписал...
11. DeepVarvar - 28 Ноября, 2014 - 14:07:24 - перейти к сообщению
Viper пишет:
гемороя будет больше и только
Если ты юзаешь на нескольких, физически на одной машине, сайтах одни и те же компоненты, тогда гемороя будет меньше.
(Добавление)
Weber пишет:
какая та есть уязвимость в bash
Она не относится к скачиванию пыхоисходников.

 

Powered by ExBB FM 1.0 RC1