PHP.SU

Программирование на PHP, MySQL и другие веб-технологии
PHP.SU Портал     На главную страницу форума Главная     Помощь Помощь     Поиск Поиск     Поиск Яндекс Поиск Яндекс     Вакансии  Пользователи Пользователи


 Страниц (3): « 1 [2] 3 »   

> Без описания
armancho7777777 Супермодератор
Отправлено: 05 Мая, 2012 - 20:39:40
Post Id



Активный участник


Покинул форум
Сообщений всего: 4517
Дата рег-ции: Февр. 2011  


Помог: 219 раз(а)




В таком случае он выдаст:
CODE (htmlphp):
скопировать код в буфер обмена
  1. RewriteCond %{REQUEST_FILENAME} !-f
  2. RewriteRule ^(.*)$ index.php [L,QSA]

А в таком нет:
CODE (htmlphp):
скопировать код в буфер обмена
  1. RewriteRule ^(.*)$ index.php [L,QSA]

Но тогда и подключенные файлы не работают.
Потому их так же через контролёр надо подключать.
Но суть в том, что так выгружается в исходный код весь код подключаемых файлов.
А хотелось бы, ччто бы их можно было подключить так, что бы получилось по классическому образу, в которм видно в исходном коде только что-то типа этого:
<link href="/styles/gallery.css" rel="stylesheet" type="text/css">
(Добавление)
sKaa пишет:
есть к странице каким либо образом подключены стили

Да ты сначало получи эту страницу.
А потом читай стили.
 
 Top
DelphinPRO
Отправлено: 05 Мая, 2012 - 20:42:25
Post Id



Активный участник


Покинул форум
Сообщений всего: 7191
Дата рег-ции: Февр. 2012  


Помог: 353 раз(а)




что за паранойя? Что у вас там такого секретного есть в стилевых файлах?

По теме. Перенаправить все запросы на точку входа. В ней проверять что запрошено. Если CSS, то

подключается как обычно
<link href="/styles/gallery.css" rel="stylesheet" type="text/css">

1. Определить из запроса какой файл нужен. (т.е. проверить $_SERVER['REQUEST_URI'], например)
2. Прочитать файл (readfile, file_get_contents)
3. Отправить заголовок соответствующего MIME типа (например Content-Type: text/css)
4. Сделать echo прочитанного файла

Картинки тоже придется так отдавать. Не знаю как это будет в плане нагрузки на сервер. может кто просветит.


-----
Чем больше узнаю, тем больше я не знаю.
 
 Top
armancho7777777 Супермодератор
Отправлено: 05 Мая, 2012 - 20:43:54
Post Id



Активный участник


Покинул форум
Сообщений всего: 4517
Дата рег-ции: Февр. 2011  


Помог: 219 раз(а)




DelphinPRO пишет:
Что у вас там такого секретного есть в стилевых файлах

css ни причём. JS.
 
 Top
DelphinPRO
Отправлено: 05 Мая, 2012 - 20:46:41
Post Id



Активный участник


Покинул форум
Сообщений всего: 7191
Дата рег-ции: Февр. 2012  


Помог: 353 раз(а)




sKaa пишет:
Суть спора : есть к странице каким либо образом подключены стили или JS я их прочитаю!

вы прочитаете стили подключенные к странице логина. Автор же, видимо, стесняется показывать стили, подключенные к закрытой части сайта.


-----
Чем больше узнаю, тем больше я не знаю.
 
 Top
sKaa
Отправлено: 05 Мая, 2012 - 20:46:55
Post Id



Частый посетитель


Покинул форум
Сообщений всего: 979
Дата рег-ции: Окт. 2011  
Откуда: Россия г. Нижний Новгород


Помог: 25 раз(а)

[+]


armancho7777777 пишет:
Да ты сначало получи эту страницу.

Ты мне не тыкай.
Гугли "как выпрямить руки об забор с помощью minify" именно minify придуман давно уже чтобы отдавать такие файлы, обычно он просто вырезает лишние пробелы, комменты и сохраняет это в какой-то свой кеш, а оттуда уже отдает и получается вместо реальной ссылки : http://... .ru/style/style.css какой нибудь экзотический типо http:// ... .ru/ipnge82/fn9qg.css
 
 Top
DelphinPRO
Отправлено: 05 Мая, 2012 - 20:47:59
Post Id



Активный участник


Покинул форум
Сообщений всего: 7191
Дата рег-ции: Февр. 2012  


Помог: 353 раз(а)




armancho7777777 пишет:
css ни причём. JS.

да не важно. по прежнему не представляю, что может быть в скриптах сверхсекретного.


-----
Чем больше узнаю, тем больше я не знаю.
 
 Top
armancho7777777 Супермодератор
Отправлено: 05 Мая, 2012 - 20:49:09
Post Id



Активный участник


Покинул форум
Сообщений всего: 4517
Дата рег-ции: Февр. 2011  


Помог: 219 раз(а)




sKaa пишет:
Суть спора : есть к странице каким либо образом подключены стили или JS я их прочитаю!

Мы говорим о разных вещах.
Я устал Вым объяснять, что если у Вас нет доступа к определённой странице сайта, то Вы не прочитаете стили, или js, подключенные к этой странице, если запрос к ним контролируется из индексного файла.
Но если в htaccess есть это:
CODE (htmlphp):
скопировать код в буфер обмена
  1. RewriteCond %{REQUEST_FILENAME} !-f

то вне зависимости от того, есть доступ к странице, или нет, сss(js) файл можно получить по прямому запросу к нему из адресной строки.
(Добавление)
DelphinPRO пишет:
прежнему не представляю, что может быть в скриптах сверхсекретного.
ajax запросы на пример.
(Добавление)
DelphinPRO пишет:
вы прочитаете стили подключенные к странице логина

Я устал ужеобъяснять это.
(Добавление)
sKaa пишет:
http://... .ru/style/style.css какой нибудь экзотический типо http:// ... .ru/ipnge82/fn9qg.css

Опять не по теме Радость
Кто о чём, он всё о своём Радость
(Добавление)

sKaa, и большая к Вам просьба, - не отвечайте на мои темы, ладно))
Мне Ваш ответ не интересен))


Отредактировано модератором: Мелкий, 05 Мая, 2012 - 21:31:31
 
 Top
caballero
Отправлено: 05 Мая, 2012 - 21:40:00
Post Id


Активный участник


Покинул форум
Сообщений всего: 6001
Дата рег-ции: Сент. 2011  
Откуда: Харьков


Помог: 126 раз(а)




armancho7777777
вы учтите что как только админ откроет эту страницу браузер закеширует как js так и css можно будет посмотреть (представим фантастическую ситуацию что это может представлять какую то опасность)


-----
Бесплатная система складского учета с открытым кодом https://zippy[dot]com[dot]ua/zstore
 
 Top
armancho7777777 Супермодератор
Отправлено: 05 Мая, 2012 - 21:49:54
Post Id



Активный участник


Покинул форум
Сообщений всего: 4517
Дата рег-ции: Февр. 2011  


Помог: 219 раз(а)




caballero пишет:
armancho7777777
вы учтите что как только админ откроет эту страницу браузер закеширует как js так и css можно будет посмотреть (представим фантастическую ситуацию что это может представлять какую то опасность)

caballero, уважаемый, всё что мне надо, так чтобы человек, не имеющий доступа к админке, не мог вызвать js файлы, которые относятся к административной части, из адресной строки. Ведь там может быть куча ajax запросов к файлам, влекущим измнения в БД.
Но при услови RewriteCond %{REQUEST_FILENAME} !-f он вызовет его в любом случае.
Я отказался от RewriteCond %{REQUEST_FILENAME} !-f.
Но из-за этого придётся все css и js файлы подключать посредством контролёра.
Я и хотел узнать как лучше это сделать, чтобы это было и эстетично и на скорость загрузки страницы не повлияло.
А меня выставили придурком, буд-то я хочу скрыть тупо js и css исходники из обычных страниц, что естественно сделать не возможно))

(Отредактировано автором: 05 Мая, 2012 - 22:02:21)

 
 Top
DelphinPRO
Отправлено: 05 Мая, 2012 - 22:09:21
Post Id



Активный участник


Покинул форум
Сообщений всего: 7191
Дата рег-ции: Февр. 2012  


Помог: 353 раз(а)




armancho7777777 пишет:
Ведь там может быть куча ajax запросов к файлам, влекущим измнения в БД.

вот он - ключевой момент! В файлах, к которым делаются аякс запросы, просто напросто необходимо проверять привилегии пользователя, и, соответственно, разрешать или запрещать изменение данных.
И не заниматься ерундой.
(Добавление)
нужно исходить из принципа, что все тайное рано или поздно становится явным.
И если в данный момент и данными средствами я не могу получить информацию, это не значит, что я не смогу получить то же самое из других источников и другими методами.
А если у вас в файлах, к которым идет обращение нет никаких проверок, кто послал запрос (вы надеетесь только на секретность), то безопасность в этом проекте стремится к нулю


-----
Чем больше узнаю, тем больше я не знаю.
 
 Top
armancho7777777 Супермодератор
Отправлено: 05 Мая, 2012 - 22:18:27
Post Id



Активный участник


Покинул форум
Сообщений всего: 4517
Дата рег-ции: Февр. 2011  


Помог: 219 раз(а)




DelphinPRO пишет:
В файлах, к которым делаются аякс запросы, просто напросто необходимо проверять привилегии пользователя, и, соответственно, разрешать или запрещать изменение данных.

Ну конечно, как без этого))
 
 Top
ams
Отправлено: 05 Мая, 2012 - 22:25:09
Post Id



Посетитель


Покинул форум
Сообщений всего: 351
Дата рег-ции: Нояб. 2010  


Помог: 13 раз(а)




Попробуй в папку, где лежит скрипт js написать Deny from all. Если путь известен, то никак закрыть... ну кроме как по IP или маскам всяких Радость
(Добавление)
Deny from all in the file .htaccess
 
 Top
armancho7777777 Супермодератор
Отправлено: 05 Мая, 2012 - 22:29:06
Post Id



Активный участник


Покинул форум
Сообщений всего: 4517
Дата рег-ции: Февр. 2011  


Помог: 219 раз(а)




ams пишет:
Deny from all
Результат будет таким же:
не будут работать файлы, подключаемые тегами <script>.

Да ладно, хрен с ним.
Придумаю что-нибудь.
 
 Top
caballero
Отправлено: 06 Мая, 2012 - 00:28:27
Post Id


Активный участник


Покинул форум
Сообщений всего: 6001
Дата рег-ции: Сент. 2011  
Откуда: Харьков


Помог: 126 раз(а)




Цитата:
всё что мне надо, так чтобы человек, не имеющий доступа к админке, не мог вызвать js файлы, которые относятся к административной части, из адресной строки. Ведь там может быть куча ajax запросов к файлам, влекущим измнения в БД.

каким образом он это сделает не залогинившись? Или ты не проверяешь залогинен ли тот кто лезет в БД?

(Отредактировано автором: 06 Мая, 2012 - 00:29:02)



-----
Бесплатная система складского учета с открытым кодом https://zippy[dot]com[dot]ua/zstore
 
 Top
armancho7777777 Супермодератор
Отправлено: 06 Мая, 2012 - 01:19:58
Post Id



Активный участник


Покинул форум
Сообщений всего: 4517
Дата рег-ции: Февр. 2011  


Помог: 219 раз(а)




caballero пишет:
каким образом он это сделает не залогинившись?

Если в htaccess указано это:
RewriteCond %{REQUEST_FILENAME} !-f
то зная путь и имя нужного js файла (который в админке) можно вызвать его из адресной строки не залогинившись.

(Отредактировано автором: 06 Мая, 2012 - 01:22:10)

 
 Top
Страниц (3): « 1 [2] 3 »
Сейчас эту тему просматривают: 1 (гостей: 1, зарегистрированных: 0)
« HTTP и PHP »


Все гости форума могут просматривать этот раздел.
Только зарегистрированные пользователи могут создавать новые темы в этом разделе.
Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.
 



Powered by PHP  Powered By MySQL  Powered by Nginx  Valid CSS  RSS

 
Powered by ExBB FM 1.0 RC1. InvisionExBB