Файловые системы и PHP


Большинство хостинг среды очень похожи, и достаточно предсказуемыми. Многие веб-разработчики также очень предсказуемо. Это не нужно быть гением, чтобы догадаться, что на сайт включает в себя (и наиболее динамичные сайты используют включает каталог для общих файлов) является www.website.com/includes/. Если сайт владелец позволил список каталогов на сервере, любой человек может перейти к этой папке и просматривать файлы.

Представьте себе на секунду, что у вас есть сценарий подключения к базе данных, и вы хотите подключиться к базе данных с любой страницы на вашем сайте. Вы можете также поместить, что в вашем включает папку, и называют это что-то вроде connect.inc. Тем не менее, это очень предсказуемо - многие люди делают именно это. Хуже всего, что файл с расширением ".inc", как правило, отображается в виде текста и вывода в браузер, а не обрабатываются как сценарий PHP - то есть, если кто-то должен был посетить этот файл в браузере, они будут учитывая ваш В базе информации Войти.

Размещение важные файлы в предсказуемых местах с предсказуемыми именами является путь к катастрофе. Размещение их вне веб корня может помочь уменьшить риск, но не является надежной решение. Лучший способ защитить Ваши важные файлы от уязвимостей, чтобы разместить их вне веб-корня, в необычно-имени папки и чтобы убедиться, что сообщения об ошибках отключена (что должно усложнить жизнь для тех, кто в надежде узнать, где ваши важные файлы хранятся). Вы также должны убедиться, список каталогов не допускается, и что все папки есть файл с именем "index.html" (по крайней мере), так, чтобы никто никогда не может увидеть содержимое папки.

Никогда, никогда, предоставить файл с расширением ".inc". Если вы должны иметь ".inc" в расширении, использовать расширение ".inc.php", так как это обеспечит файл обрабатывается PHP двигателя (имеется в виду, что все, как имя пользователя и пароль не передается пользователю) . Всегда убедитесь, что ваш включает папка находится вне вашего веб-корня, а не по имени что-то очевидное. Всегда убедитесь, что вы добавить пустой файл с именем "index.html" ко всем папкам, как включить или папки изображений - даже если вы отрицаете каталог объявлении себя, вы можете изменить в один прекрасный день хозяев, или кто-то другой может изменить конфигурацию сервера - если список каталогов допускается, то ваш файл index.html будет убедиться, что пользователь всегда получает пустую страницу, а не список каталога. Кроме того, всегда проверяйте, что список каталогов отключен на веб-сервере (легко сделать с .htaccess или httpd.conf).

 


Тэги:

Комментарии: 0

Прокомментировать »

 
 
 

Прокомментировать

 
 
Сообщение *
 
Проверочный код *
 
 
 
Яндекс.Метрика