Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757
Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770
Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/topic.php on line 737 Форумы портала PHP.SU :: Как закрыть доступ к папке [2]
Покинул форум
Сообщений всего: 495
Дата рег-ции: Окт. 2011
Помог: 8 раз(а)
EuGen пишет:
Не очень понял, как это может помочь. Ведь можно в исходном коде посмотреть, что там загружается.
Ну это же админка, и доступ к ней обычные пользователи не имеют (такое вот смелое предположение).
Вот если наш Джо догадается до имени папки, он может догадаться и до имени файла
Мы же все помним, что ему скажут, что доступа нет, а значит сам факт существования папки будет известен.
Ch_chov
Отправлено: 17 Ноября, 2011 - 09:05:28
Постоянный участник
Покинул форум
Сообщений всего: 2121
Дата рег-ции: Июль 2008 Откуда: из города
Помог: 90 раз(а)
armancho7777777, можно скрипты прогонять через какой-нибудь компрессор/агрегатор и сохранять со случайным именем. Если уж совсем параноя мучит, то закрывать через .htaccess, что бы доступ был только для IP адреса администратора.
Еще один вариант использовать базовую http авторизацию.
Самогонщик
Отправлено: 17 Ноября, 2011 - 09:08:24
Посетитель
Покинул форум
Сообщений всего: 495
Дата рег-ции: Окт. 2011
Помог: 8 раз(а)
Ch_chov, это всё отстой, без использования шифрованной передачи данных (SSL) ни один параноик не может быть спокойным.
EuGen
Отправлено: 17 Ноября, 2011 - 09:09:13
Профессионал
Покинул форум
Сообщений всего: 9095
Дата рег-ции: Июнь 2007 Откуда: Berlin
Помог: 707 раз(а)
О да. При каждом запуске скрипте создавать symlink на 1 раз со случайным именем.
Мне кажется, что достаточно знать, что это - административная панель и, стало быть, простой пользователь не увидит ничего (но об этом в первоначальной задаче не сказано)
----- Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.
DeepVarvar
Отправлено: 17 Ноября, 2011 - 09:34:27
Активный участник
Покинул форум
Сообщений всего: 10377
Дата рег-ции: Дек. 2008 Откуда: Альфа Центавра
Т.е. кроме как через чпу доступа туда не будет, а подобрать хеш сложно.
Так, например для урла "/comments/" автоматически подгружаетсядополнительный ф-ционал который принимает POST от js.
Ну и далее работает по условиям...
Покинул форум
Сообщений всего: 495
Дата рег-ции: Окт. 2011
Помог: 8 раз(а)
DeepVarvar пишет:
__autoload о чем нибудь говорит?
Продолжай....
DeepVarvar
Отправлено: 17 Ноября, 2011 - 10:27:39
Активный участник
Покинул форум
Сообщений всего: 10377
Дата рег-ции: Дек. 2008 Откуда: Альфа Центавра
Помог: 353 раз(а)
В основной объект загружаются на основе данных чпу соответствующие модули.
Далее происходит локальный для модуля разбор логики приложения.
Но, когда имеется тот аяксовый заголовок, подключается сперва модуль (еще один контроллер) ajax,
он ставит нужные св-ва в соответствующие значения для режима AJAX,
или завершает работу, если ему что-то не понравится в данных,
или пересылает данные дальше, к модулю или выполняет что-то сам, все зависит от целей.
Срабатывает как bypass в разрыве.
Хеш нужен для того, чтобы нельзя было обратиться к модулю извне + возможность сменить в конфиге.
Покинул форум
Сообщений всего: 495
Дата рег-ции: Окт. 2011
Помог: 8 раз(а)
Вообще мой замечание было о том, что из кода ничего этого не следует.
И, если правильно понял описание, обращения к пхп файлам обрабатывающим аякс запросы происходит через контроллер, часть которого была представлена в коде. Сами же эти пхп файлы спрятана в папке с длинным названием.
Вопрос, зачем так прятать пхп файлы? не проще ли было сделать так, чтобы обращение к этим файлам не приносило бы никакого эффекта, тогда бы знание их названия названия и местоположения не давало бы ни какого профита?
armancho7777777
Отправлено: 17 Ноября, 2011 - 13:18:51
Активный участник
Покинул форум
Сообщений всего: 4526
Дата рег-ции: Февр. 2011 Откуда: Москва
Помог: 221 раз(а)
Вообще, изначально, я собирался сделать так (в роутере):
Все гости форума могут просматривать этот раздел. Только зарегистрированные пользователи могут создавать новые темы в этом разделе. Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.