Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757
Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770
Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/topic.php on line 737 Форумы портала PHP.SU :: Абсолютая единая точка входа [2]
Но тогда и подключенные файлы не работают.
Потому их так же через контролёр надо подключать.
Но суть в том, что так выгружается в исходный код весь код подключаемых файлов.
А хотелось бы, ччто бы их можно было подключить так, что бы получилось по классическому образу, в которм видно в исходном коде только что-то типа этого:
<link href="/styles/gallery.css" rel="stylesheet" type="text/css"> (Добавление)
sKaa пишет:
есть к странице каким либо образом подключены стили
Да ты сначало получи эту страницу.
А потом читай стили.
DelphinPRO
Отправлено: 05 Мая, 2012 - 20:42:25
Активный участник
Покинул форум
Сообщений всего: 7187
Дата рег-ции: Февр. 2012
Помог: 353 раз(а)
что за паранойя? Что у вас там такого секретного есть в стилевых файлах?
По теме. Перенаправить все запросы на точку входа. В ней проверять что запрошено. Если CSS, то
подключается как обычно
<link href="/styles/gallery.css" rel="stylesheet" type="text/css">
1. Определить из запроса какой файл нужен. (т.е. проверить $_SERVER['REQUEST_URI'], например)
2. Прочитать файл (readfile, file_get_contents)
3. Отправить заголовок соответствующего MIME типа (например Content-Type: text/css)
4. Сделать echo прочитанного файла
Картинки тоже придется так отдавать. Не знаю как это будет в плане нагрузки на сервер. может кто просветит.
-----
armancho7777777
Отправлено: 05 Мая, 2012 - 20:43:54
Активный участник
Покинул форум
Сообщений всего: 4526
Дата рег-ции: Февр. 2011 Откуда: Москва
Помог: 221 раз(а)
DelphinPRO пишет:
Что у вас там такого секретного есть в стилевых файлах
css ни причём. JS.
DelphinPRO
Отправлено: 05 Мая, 2012 - 20:46:41
Активный участник
Покинул форум
Сообщений всего: 7187
Дата рег-ции: Февр. 2012
Помог: 353 раз(а)
sKaa пишет:
Суть спора : есть к странице каким либо образом подключены стили или JS я их прочитаю!
вы прочитаете стили подключенные к странице логина. Автор же, видимо, стесняется показывать стили, подключенные к закрытой части сайта.
-----
sKaa
Отправлено: 05 Мая, 2012 - 20:46:55
Частый посетитель
Покинул форум
Сообщений всего: 979
Дата рег-ции: Окт. 2011 Откуда: Россия г. Нижний Новгород
Помог: 25 раз(а)
[+]
armancho7777777 пишет:
Да ты сначало получи эту страницу.
Ты мне не тыкай.
Гугли "как выпрямить руки об забор с помощью minify" именно minify придуман давно уже чтобы отдавать такие файлы, обычно он просто вырезает лишние пробелы, комменты и сохраняет это в какой-то свой кеш, а оттуда уже отдает и получается вместо реальной ссылки : http://... .ru/style/style.css какой нибудь экзотический типо http:// ... .ru/ipnge82/fn9qg.css
DelphinPRO
Отправлено: 05 Мая, 2012 - 20:47:59
Активный участник
Покинул форум
Сообщений всего: 7187
Дата рег-ции: Февр. 2012
Помог: 353 раз(а)
armancho7777777 пишет:
css ни причём. JS.
да не важно. по прежнему не представляю, что может быть в скриптах сверхсекретного.
-----
armancho7777777
Отправлено: 05 Мая, 2012 - 20:49:09
Активный участник
Покинул форум
Сообщений всего: 4526
Дата рег-ции: Февр. 2011 Откуда: Москва
Помог: 221 раз(а)
sKaa пишет:
Суть спора : есть к странице каким либо образом подключены стили или JS я их прочитаю!
Мы говорим о разных вещах.
Я устал Вым объяснять, что если у Вас нет доступа к определённой странице сайта, то Вы не прочитаете стили, или js, подключенные к этой странице, если запрос к ним контролируется из индексного файла.
Но если в htaccess есть это:
то вне зависимости от того, есть доступ к странице, или нет, сss(js) файл можно получить по прямому запросу к нему из адресной строки. (Добавление)
DelphinPRO пишет:
прежнему не представляю, что может быть в скриптах сверхсекретного.
ajax запросы на пример. (Добавление)
DelphinPRO пишет:
вы прочитаете стили подключенные к странице логина
Я устал ужеобъяснять это. (Добавление)
sKaa пишет:
http://... .ru/style/style.css какой нибудь экзотический типо http:// ... .ru/ipnge82/fn9qg.css
Опять не по теме
Кто о чём, он всё о своём (Добавление)
sKaa, и большая к Вам просьба, - не отвечайте на мои темы, ладно))
Мне Ваш ответ не интересен))Отредактировано модератором: Мелкий, 05 Мая, 2012 - 21:31:31
caballero
Отправлено: 05 Мая, 2012 - 21:40:00
Активный участник
Покинул форум
Сообщений всего: 5998
Дата рег-ции: Сент. 2011 Откуда: Харьков
Помог: 126 раз(а)
armancho7777777
вы учтите что как только админ откроет эту страницу браузер закеширует как js так и css можно будет посмотреть (представим фантастическую ситуацию что это может представлять какую то опасность)
-----
armancho7777777
Отправлено: 05 Мая, 2012 - 21:49:54
Активный участник
Покинул форум
Сообщений всего: 4526
Дата рег-ции: Февр. 2011 Откуда: Москва
Помог: 221 раз(а)
caballero пишет:
armancho7777777
вы учтите что как только админ откроет эту страницу браузер закеширует как js так и css можно будет посмотреть (представим фантастическую ситуацию что это может представлять какую то опасность)
caballero, уважаемый, всё что мне надо, так чтобы человек, не имеющий доступа к админке, не мог вызвать js файлы, которые относятся к административной части, из адресной строки. Ведь там может быть куча ajax запросов к файлам, влекущим измнения в БД.
Но при услови RewriteCond %{REQUEST_FILENAME} !-f он вызовет его в любом случае.
Я отказался от RewriteCond %{REQUEST_FILENAME} !-f.
Но из-за этого придётся все css и js файлы подключать посредством контролёра.
Я и хотел узнать как лучше это сделать, чтобы это было и эстетично и на скорость загрузки страницы не повлияло.
А меня выставили придурком, буд-то я хочу скрыть тупо js и css исходники из обычных страниц, что естественно сделать не возможно))
Покинул форум
Сообщений всего: 7187
Дата рег-ции: Февр. 2012
Помог: 353 раз(а)
armancho7777777 пишет:
Ведь там может быть куча ajax запросов к файлам, влекущим измнения в БД.
вот он - ключевой момент! В файлах, к которым делаются аякс запросы, просто напросто необходимо проверять привилегии пользователя, и, соответственно, разрешать или запрещать изменение данных.
И не заниматься ерундой. (Добавление)
нужно исходить из принципа, что все тайное рано или поздно становится явным.
И если в данный момент и данными средствами я не могу получить информацию, это не значит, что я не смогу получить то же самое из других источников и другими методами.
А если у вас в файлах, к которым идет обращение нет никаких проверок, кто послал запрос (вы надеетесь только на секретность), то безопасность в этом проекте стремится к нулю
-----
armancho7777777
Отправлено: 05 Мая, 2012 - 22:18:27
Активный участник
Покинул форум
Сообщений всего: 4526
Дата рег-ции: Февр. 2011 Откуда: Москва
Помог: 221 раз(а)
DelphinPRO пишет:
В файлах, к которым делаются аякс запросы, просто напросто необходимо проверять привилегии пользователя, и, соответственно, разрешать или запрещать изменение данных.
Ну конечно, как без этого))
ams
Отправлено: 05 Мая, 2012 - 22:25:09
Посетитель
Покинул форум
Сообщений всего: 351
Дата рег-ции: Нояб. 2010
Помог: 13 раз(а)
Попробуй в папку, где лежит скрипт js написать Deny from all. Если путь известен, то никак закрыть... ну кроме как по IP или маскам всяких (Добавление)
Deny from all in the file .htaccess
armancho7777777
Отправлено: 05 Мая, 2012 - 22:29:06
Активный участник
Покинул форум
Сообщений всего: 4526
Дата рег-ции: Февр. 2011 Откуда: Москва
Помог: 221 раз(а)
ams пишет:
Deny from all
Результат будет таким же:
не будут работать файлы, подключаемые тегами <script>.
Да ладно, хрен с ним.
Придумаю что-нибудь.
caballero
Отправлено: 06 Мая, 2012 - 00:28:27
Активный участник
Покинул форум
Сообщений всего: 5998
Дата рег-ции: Сент. 2011 Откуда: Харьков
Помог: 126 раз(а)
Цитата:
всё что мне надо, так чтобы человек, не имеющий доступа к админке, не мог вызвать js файлы, которые относятся к административной части, из адресной строки. Ведь там может быть куча ajax запросов к файлам, влекущим измнения в БД.
каким образом он это сделает не залогинившись? Или ты не проверяешь залогинен ли тот кто лезет в БД?
Покинул форум
Сообщений всего: 4526
Дата рег-ции: Февр. 2011 Откуда: Москва
Помог: 221 раз(а)
caballero пишет:
каким образом он это сделает не залогинившись?
Если в htaccess указано это: RewriteCond %{REQUEST_FILENAME} !-f
то зная путь и имя нужного js файла (который в админке) можно вызвать его из адресной строки не залогинившись.
Все гости форума могут просматривать этот раздел. Только зарегистрированные пользователи могут создавать новые темы в этом разделе. Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.
Главная
Помощь
Поиск
Пользователи
Форумы портала PHP.SU » PHP » Программирование на PHP » HTTP и PHP (Модераторы: OrmaJever, Саныч)
Без описания
