מהי הדרך הכי טוב לחסום גישה ישירה לקבצי PHP - הוסטס

**Daniel** · 20-08-12, 19:38

* להגדיר משתנה בקובץ הראשי (עם define) ולבדוק בקבצים אם is_defined
* שבקבצים עצמם יהיה רק class - הקובץ שמבצע את ה-include יצטרך לקרוא ל-class בעצמו
* htaccess
* לשים אותם בתיקיה מעל ה-public_html

אלה 4 שיטות אפשריות... מה שלרוב מיישמים זה שילוב של 1+2 - ברירת מחדל יש רק את ה-class ואז גם אם מישהו יגש זה לא ישנה לאף אחד... ואם צריכה להתבצע פעולה בקובץ בכל מקרה - אז בודקים אם:

PHP קוד:


			
is_defined("my_system_variable")

ורק אם כן ממשיכים.

Kernel · 20-08-12, 20:09

PHP קוד:


			
if ($_SERVER['REMOTE_ADDR'] != "127.0.0.1") { die('wrong ip'); }

שים לב שבמידה ואתה עובד עם Virtual Hosts ב-Apache זה לא יעבוד (ובמקום 127.0.0.1 תחליף באייפי של השרת).

אבי.

בניה · 20-08-12, 20:21

גישה דרך הFILE SYSTEM או דרך HTTP?
ממה אתה חושש בסופו של דבר?

**Daniel** · 20-08-12, 20:35

ציטוט:

נכתב במקור על ידי Kernel

PHP קוד:


			
if ($_SERVER['REMOTE_ADDR'] != "127.0.0.1") { die('wrong ip'); }

שים לב שבמידה ואתה עובד עם Virtual Hosts ב-Apache זה לא יעבוד (ובמקום 127.0.0.1 תחליף באייפי של השרת).

אבי.

אבי, אבל גם כשאתה עושה include - המשתנים הגלובאליים (לרבות $_SERVER) לא משתנים..

אם משתמש נכנס אל index.php ושם בוצע include ל-someclass.php - אז ה-$_SERVER['REMOTE_ADDR'] ישאר ה-IP של המשתמש...

Kernel · 20-08-12, 20:42

ציטוט:

נכתב במקור על ידי Daniel

אבי, אבל גם כשאתה עושה include - המשתנים הגלובאליים (לרבות $_SERVER) לא משתנים..

אם משתמש נכנס אל index.php ושם בוצע include ל-someclass.php - אז ה-$_SERVER['REMOTE_ADDR'] ישאר ה-IP של המשתמש...

שים לב מה פותח הפוסט ביקש,
זה עדיין פותר לו את הבעיה.

איציק ברבי · 20-08-12, 21:57

ציטוט:

נכתב במקור על ידי Kernel

שים לב מה פותח הפוסט ביקש,
זה עדיין פותר לו את הבעיה.

מה קורה במקרה שיש RFI באחד האחסונים בשרת?

Kernel · 20-08-12, 22:49

ציטוט:

נכתב במקור על ידי איציק ברבי

מה קורה במקרה שיש RFI באחד האחסונים בשרת?

אם אבטחה קריטית לך, אתה תהיה לבד בשרת.

20-08-12, 19:38	# 1
Daniel אחראי פורום מיני פרופיל תאריך הצטרפות: Mar 2007 הודעות: 2,875	* להגדיר משתנה בקובץ הראשי (עם define) ולבדוק בקבצים אם is_defined * שבקבצים עצמם יהיה רק class - הקובץ שמבצע את ה-include יצטרך לקרוא ל-class בעצמו * htaccess * לשים אותם בתיקיה מעל ה-public_html אלה 4 שיטות אפשריות... מה שלרוב מיישמים זה שילוב של 1+2 - ברירת מחדל יש רק את ה-class ואז גם אם מישהו יגש זה לא ישנה לאף אחד... ואם צריכה להתבצע פעולה בקובץ בכל מקרה - אז בודקים אם: PHP קוד: `is_defined("my_system_variable")` ורק אם כן ממשיכים.

20-08-12, 20:09	# 2
Kernel אושיית הוסטינג מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: בקעת אונו הודעות: 2,429	PHP קוד: `if ($_SERVER['REMOTE_ADDR'] != "127.0.0.1") { die('wrong ip'); }` שים לב שבמידה ואתה עובד עם Virtual Hosts ב-Apache זה לא יעבוד (ובמקום 127.0.0.1 תחליף באייפי של השרת). אבי. __________________ אבי

20-08-12, 20:21	# 3
בניה משתמש - היכל התהילה מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: נחושה הודעות: 3,434	גישה דרך הFILE SYSTEM או דרך HTTP? ממה אתה חושש בסופו של דבר? __________________ קו ישר, כי אפשר גם אחרת


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)