מהי הדרך הכי טוב לחסום גישה ישירה לקבצי PHP - הוסטס

Ori The Man · 20-08-12, 19:20

מהי הדרך הכי טוב לחסום גישה ישירה לקבצי PHP לצורך אבטחה כמובן.
שרק דרך השרת יהייה ניתן לשלוח אליו נתונים

**Daniel** · 20-08-12, 19:38

* להגדיר משתנה בקובץ הראשי (עם define) ולבדוק בקבצים אם is_defined
* שבקבצים עצמם יהיה רק class - הקובץ שמבצע את ה-include יצטרך לקרוא ל-class בעצמו
* htaccess
* לשים אותם בתיקיה מעל ה-public_html

אלה 4 שיטות אפשריות... מה שלרוב מיישמים זה שילוב של 1+2 - ברירת מחדל יש רק את ה-class ואז גם אם מישהו יגש זה לא ישנה לאף אחד... ואם צריכה להתבצע פעולה בקובץ בכל מקרה - אז בודקים אם:

PHP קוד:


			
is_defined("my_system_variable")

ורק אם כן ממשיכים.

Kernel · 20-08-12, 20:09

PHP קוד:


			
if ($_SERVER['REMOTE_ADDR'] != "127.0.0.1") { die('wrong ip'); }

שים לב שבמידה ואתה עובד עם Virtual Hosts ב-Apache זה לא יעבוד (ובמקום 127.0.0.1 תחליף באייפי של השרת).

אבי.

בניה · 20-08-12, 20:21

גישה דרך הFILE SYSTEM או דרך HTTP?
ממה אתה חושש בסופו של דבר?

**Daniel** · 20-08-12, 20:35

ציטוט:

נכתב במקור על ידי Kernel

PHP קוד:


			
if ($_SERVER['REMOTE_ADDR'] != "127.0.0.1") { die('wrong ip'); }

שים לב שבמידה ואתה עובד עם Virtual Hosts ב-Apache זה לא יעבוד (ובמקום 127.0.0.1 תחליף באייפי של השרת).

אבי.

אבי, אבל גם כשאתה עושה include - המשתנים הגלובאליים (לרבות $_SERVER) לא משתנים..

אם משתמש נכנס אל index.php ושם בוצע include ל-someclass.php - אז ה-$_SERVER['REMOTE_ADDR'] ישאר ה-IP של המשתמש...

Itay · 20-08-12, 20:40

אם יש לך מבנה מסויים של קבצים, לדוגמא - כל המערכת עובדת דרך index.php, אז אתה יכול לבדוק אם הקובץ שהמשתמש נמצא בו (לא זוכר מה המשתנה ב-$_SERVER, תבדוק) הוא לא בשם הזה ואז לחסום גישה

Kernel · 20-08-12, 20:42

ציטוט:

נכתב במקור על ידי Daniel

אבי, אבל גם כשאתה עושה include - המשתנים הגלובאליים (לרבות $_SERVER) לא משתנים..

אם משתמש נכנס אל index.php ושם בוצע include ל-someclass.php - אז ה-$_SERVER['REMOTE_ADDR'] ישאר ה-IP של המשתמש...

שים לב מה פותח הפוסט ביקש,
זה עדיין פותר לו את הבעיה.

איציק ברבי · 20-08-12, 21:57

ציטוט:

נכתב במקור על ידי Kernel

שים לב מה פותח הפוסט ביקש,
זה עדיין פותר לו את הבעיה.

מה קורה במקרה שיש RFI באחד האחסונים בשרת?

perfeito · 20-08-12, 22:03

אתה יכול פשוט לא לשים את הקבצים ב document root.

אני אישית שם קובץ אחד index.php
וכל שאר הקבצים הם מחוץ ל document root כך שאפשר לגשת דרך הרשת רק אל index.php.

Kernel · 20-08-12, 22:49

ציטוט:

נכתב במקור על ידי איציק ברבי

מה קורה במקרה שיש RFI באחד האחסונים בשרת?

אם אבטחה קריטית לך, אתה תהיה לבד בשרת.

20-08-12, 19:20	# 1
Ori The Man משתמש - היכל התהילה מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: חיפה גיל: 34 הודעות: 3,694	מהי הדרך הכי טוב לחסום גישה ישירה לקבצי PHP מהי הדרך הכי טוב לחסום גישה ישירה לקבצי PHP לצורך אבטחה כמובן. שרק דרך השרת יהייה ניתן לשלוח אליו נתונים __________________ PickUpp אפליקציית היכרויות אפליקציית פיקאפ

20-08-12, 19:38	# 2
Daniel אחראי פורום מיני פרופיל תאריך הצטרפות: Mar 2007 הודעות: 2,875	* להגדיר משתנה בקובץ הראשי (עם define) ולבדוק בקבצים אם is_defined * שבקבצים עצמם יהיה רק class - הקובץ שמבצע את ה-include יצטרך לקרוא ל-class בעצמו * htaccess * לשים אותם בתיקיה מעל ה-public_html אלה 4 שיטות אפשריות... מה שלרוב מיישמים זה שילוב של 1+2 - ברירת מחדל יש רק את ה-class ואז גם אם מישהו יגש זה לא ישנה לאף אחד... ואם צריכה להתבצע פעולה בקובץ בכל מקרה - אז בודקים אם: PHP קוד: `is_defined("my_system_variable")` ורק אם כן ממשיכים.

20-08-12, 20:09	# 3
Kernel אושיית הוסטינג מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: בקעת אונו הודעות: 2,429	PHP קוד: `if ($_SERVER['REMOTE_ADDR'] != "127.0.0.1") { die('wrong ip'); }` שים לב שבמידה ואתה עובד עם Virtual Hosts ב-Apache זה לא יעבוד (ובמקום 127.0.0.1 תחליף באייפי של השרת). אבי. __________________ אבי

20-08-12, 20:21	# 4
בניה משתמש - היכל התהילה מיני פרופיל תאריך הצטרפות: Oct 2005 מיקום: נחושה הודעות: 3,434	גישה דרך הFILE SYSTEM או דרך HTTP? ממה אתה חושש בסופו של דבר? __________________ קו ישר, כי אפשר גם אחרת

20-08-12, 20:40	# 6
Itay חבר מתקדם מיני פרופיל תאריך הצטרפות: Oct 2005 גיל: 35 הודעות: 564	אם יש לך מבנה מסויים של קבצים, לדוגמא - כל המערכת עובדת דרך index.php, אז אתה יכול לבדוק אם הקובץ שהמשתמש נמצא בו (לא זוכר מה המשתנה ב-$_SERVER, תבדוק) הוא לא בשם הזה ואז לחסום גישה __________________ הורדת שירים מיוטיוב, הורדת שירים, שירים להורדה, שירים להורדה מיוטיוב, העלאת תמונות


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

20-08-12, 22:03	# 9
perfeito חבר בקהילה מיני פרופיל תאריך הצטרפות: Jul 2012 הודעות: 102	אתה יכול פשוט לא לשים את הקבצים ב document root. אני אישית שם קובץ אחד index.php וכל שאר הקבצים הם מחוץ ל document root כך שאפשר לגשת דרך הרשת רק אל index.php.

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)