Is dit veilig om toegang tot .ini-lêer in .htaccess te weier?

StackOverflow https://stackoverflow.com/questions/216019

  •  03-07-2019
  •  | 
  •  

Vra

Ek het 'n .ini-lêer met sensitiewe inligting in my php wab-toepassing.Ek het toegang daartoe geweier deur 'n .htaccess-lêer te gebruik:

<files my.ini>
  order deny,allow
  deny from all
</files>

Ek het nie toegang tot vouers buite htdocs nie, so ek kan nie die .ini-lêer uit blaaibare gebied skuif nie.

Is my oplossing veilig?

Was dit nuttig?

Oplossing

Die htaccess sal toegang vanaf die web blokkeer. Maar, as jy 'n shared hosting omgewing, is dit dalk moontlik wees vir ander gebruikers om toegang te verkry tot jou ini. As sy op 'n (virtuele private) bediener en jy is die enigste gebruiker vir daardie bediener jy veilig is.

In die geval van shared hosting dit hang af van bediener verstellings. Vir meer inligting lees: PHP Sekuriteit in 'n gedeelde hosting omgewing

Jy kan tydelik te installeer PHPShell en blaai deur die bediener lêerstelsel te kyk of jou bediener is kwesbaar. (Vereis 'n paar instruksies kennis)

Ander wenke

Nog 'n goeie oplossing en my persoonlike gunsteling (veral wanneer kode ontwikkel word wat dalk nie onder my streng .htaccess-beheer sal bly nie) is om die werklike .ini-lêer te beveilig.Dankie aan 'n vriendelike siel hier - gebruiker notas:pd by gevriesde stukkies dot de, wat ek doen is:

my.ini -> changes to my.ini.php

my.ini.php begin:

;<?php
;die(); // For further security
;/*
    [category]
    name="value"

;*/

Werk perfek!Toegang tot die lêer direk en al wat jy sien is ';' en dit is 'n geldige, ontleedbare .ini-lêer.Waarvan hou nie :)

'n Paar notas oor werklike implementering (verskoning as dit as "oordeel" tel, maar spaar iemand dalk tyd):

  1. Hierdie lêer maak my IDE baie ontsteld en dit hou aan om outomaties te herformateer wat PHP ontsteld maak.Seëninge op Notepad++.
  2. Moenie die afsluiting vergeet nie ;*/.Dit werk steeds as jy dit uitlaat, maar PHP waarsku jou dat dit op die punt is om Ontsteld te word.

Gesorteer.

Die lêer sal nie sigbaar vanaf apache wees. Dit is duidelik dat die beste opsie is om dit buite wortel na jou webwerf se sit. As jy dit nie kan doen nie, htaccess lêers (of 'n soortgelyke voorskrifte in jou apache configs) is pretty much jou enigste opsie.

Gelisensieer onder: CC-BY-SA met toeskrywing
Nie verbonde aan StackOverflow
scroll top