Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757
Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770
Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/topic.php on line 737 Форумы портала PHP.SU :: Абсолютая единая точка входа [3]
Это справедливо только для вызываемых php/html файлов.
И ничем это не поможет при таком запросе:
_http://site.ru/admin/js/file.js
Выдаст в браузер как ни в чём не бывало. (Добавление)
И кроме индексного файла Вы ничего больше не получите. (Добавление)
avtor.fox пишет:
И у Вас всё же паранойя
Спасибо за комплимент! (Добавление)
avtor.fox пишет:
Но это колоссальная работа по обработке всех типов данных.
Подключаться таким образом будут только необходимые файлы для определённой страницы.
Да к тому же только те, которые имеют отношение к админке.
Так как все подобные файлы будут в определённой директории со своим файлом htaccess.
Предположим хакер смог получить доступ к файлу secure.js и узнал какой запрос нужно послать. Он посылает запрос и идет лесом. Потому что админских привилегий у него нету.
Внимание, вопрос! Какой смысл ограничивать доступ к ява-скрипт файлу?
----- Чем больше узнаю, тем больше я не знаю.
armancho7777777
Отправлено: 06 Мая, 2012 - 02:27:51
Активный участник
Покинул форум
Сообщений всего: 4526
Дата рег-ции: Февр. 2011 Откуда: Москва
Помог: 221 раз(а)
DelphinPRO пишет:
Внимание, вопрос! Какой смысл ограничивать доступ к ява-скрипт файлу?
Как говорится, от греха подальше
Мало ли, что за мозг его получит
Пусть это паранойя, зато железобетонно
Ну, или почти...
DelphinPRO
Отправлено: 06 Мая, 2012 - 02:29:15
Активный участник
Покинул форум
Сообщений всего: 7187
Дата рег-ции: Февр. 2012
Помог: 353 раз(а)
Всё. Теперь ясно. Можно со спокойной душой идти спать.
----- Чем больше узнаю, тем больше я не знаю.
armancho7777777
Отправлено: 06 Мая, 2012 - 02:31:04
Активный участник
Покинул форум
Сообщений всего: 4526
Дата рег-ции: Февр. 2011 Откуда: Москва
Помог: 221 раз(а)
DelphinPRO пишет:
Всё. Теперь ясно. Можно со спокойной душой идти спать.
Давай
caballero
Отправлено: 06 Мая, 2012 - 02:57:33
Активный участник
Покинул форум
Сообщений всего: 5998
Дата рег-ции: Сент. 2011 Откуда: Харьков
Помог: 126 раз(а)
Цитата:
И ничем это не поможет при таком запросе:
_http://site.ru/admin/js/file.js
Покинул форум
Сообщений всего: 645
Дата рег-ции: Янв. 2012 Откуда: Армавир, Краснодарский край
Помог: 15 раз(а)
armancho7777777, все Вам правильно написали.
Есть у вас html-файл с кнопкой, который вызывает функцию передачи данных в Ajax-файле в обработчик на php. К примеру, кнопка вызывает Ajax-функцию del_user(), которая в свою очередь не удаляет юзера, а всего лишь передает скрипту php параметр $_GET['del_user'] (http://.../.../del.php?del_user=3). В php-файле что-то вроде:
Так вот, аякс в данном случае позволяет тупо обойтись без перезагрузки страницы, не более. Пока не дадите посетителю $_SESSION["userid"], ниче он сделать не сможет, даже если Ваши исходники видел, и знает каким гетом в каком файле удалить юзера.
Можете спрятать Ваш обработчик под Deny from all и инклюдить его откуда-нибудь, а можете всю директорию с админкой закрыть базовыми средствами Apache (.htpasswd), но в любом случае, захотят сломать - сломают. В дата-центре крысу найдут и получат что надо) Ну это если у Вас прям СУПЕРсекретная дорогая инфа там. А от шалостей if(isset($_SESSION["userid"])) более чем достаточно.
Покинул форум
Сообщений всего: 1
Дата рег-ции: Май 2015
Помог: 0 раз(а)
Немного некропостинга, но думаю многим будет полезно.
Для того, чтобы получить доступ к файлу стилей и т.п. в директории с данным файлом нужно поместить .htaccess с содержанием: Allow from all
Это при условии, что вы используете единую точку входа через .htaccess.
Все гости форума могут просматривать этот раздел. Только зарегистрированные пользователи могут создавать новые темы в этом разделе. Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.