هل من الآمن رفض الوصول إلى ملف .ini في .htaccess؟
https://stackoverflow.com/questions/216019
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
لدي ملف .ini يحتوي على معلومات حساسة في تطبيق php wab الخاص بي.لقد رفضت الوصول إليه باستخدام ملف htaccess:
<files my.ini>
order deny,allow
deny from all
</files>
ليس لدي إمكانية الوصول إلى المجلدات خارج htdocs، لذلك لا أستطيع نقل ملف .ini خارج المنطقة القابلة للتصفح.
هل الحل الخاص بي آمن؟
المحلول
ووهتكس ومنع الوصول من شبكة الإنترنت. ومع ذلك، إذا كنت تستخدم بيئة استضافة مشتركة، قد يكون من الممكن للمستخدمين الآخرين للوصول إلى INI الخاص بك. إذا على الخادم (الظاهري الخاص) وكنت المستخدم الوحيد لذلك الملقم كنت آمنة.
في حالة استضافة مشتركة أنها تعتمد على تكوين الملقم. لمزيد من المعلومات قراءة: PHP الأمن في بيئة استضافة مشتركة
ويمكنك تثبيت مؤقتا PHPShell و من خلال تصفح الملفات الخادم لمعرفة ما اذا كان الخادم الخاص بك هو عرضة للخطر. (يتطلب بعض المعرفة فلكس)
نصائح أخرى
الحل الجيد الآخر والمفضل لدي شخصيًا (خصوصًا عند تطوير التعليمات البرمجية التي قد لا تظل تحت تحكمي الصارم في .htaccess) هو تأمين ملف .ini الفعلي.شكرا للروح الطيبة هنا - ملاحظات المستخدم:pd في البتات المجمدة نقطة دي, ، ما أفعله هو:
my.ini -> changes to my.ini.php
يبدأ my.ini.php:
;<?php
;die(); // For further security
;/*
[category]
name="value"
;*/
يعمل على أكمل وجه!قم بالوصول إلى الملف مباشرة وكل ما تراه هو ';' و وهو ملف .ini صالح وقابل للتحليل.ما الذي لا يعجبك :)
بعض الملاحظات حول التنفيذ الفعلي (نعتذر إذا كان هذا يعتبر "مشاركة زائدة" ولكن ربما يوفر على شخص ما بعض الوقت):
- هذا الملف يجعل IDE الخاص بي منزعجًا للغاية ويستمر في محاولة إعادة التنسيق التلقائي مما يجعل PHP منزعجًا.بركاته على المفكرة ++.
- لا تنسى الختام
;*/.لا يزال يعمل إذا تركته ولكن PHP يحذرك من أنه على وشك أن يصبح منزعجًا.
مرتبة.
وسيقوم الملف لا تكون مرئية من اباتشي. من الواضح أن الخيار الأفضل هو وضعه خارج جذر موقعك. إذا كنت لا تستطيع أن تفعل ذلك، ملفات هتكس (أو توجيهات مماثلة في التكوينات اباتشي الخاص بك) هو الى حد كبير الخيار الوحيد.
