Ist es sicher, den Zugriff auf INI-Datei in .htaccess zu verweigern?

StackOverflow https://stackoverflow.com/questions/216019

  •  03-07-2019
  •  | 
  •  

Frage

Ich habe eine INI-Datei mit sensiblen Informationen in meiner php wab App. Ich verweigern den Zugriff auf eine .htaccess-Datei: 

<files my.ini>
  order deny,allow
  deny from all
</files>

Ich habe keinen Zugriff auf Ordner außerhalb von htdocs, also kann ich nicht die INI-Datei aus durchsuchbaren Gebiet bewegen.

Ist meine Lösung sicher?

War es hilfreich?

Lösung

Die .htaccess wird der Zugriff aus dem Internet blockieren. Wenn Sie jedoch eine Shared-Hosting-Umgebung verwenden, könnte es möglich sein, für andere Benutzer Ihre ini zuzugreifen. Wenn es auf einem (virtuellen privaten) Server und Sie sind der einzige Benutzer für diesen Server, den Sie sicher sind.

Bei Shared-Hosting es hängt von der Serverkonfiguration. Für weitere Informationen lesen: PHP Sicherheit in einer Shared-Hosting-Umgebung

Sie können vorübergehend installieren PHPShell und blättern Sie durch das Server-Dateisystem zu überprüfen, ob Ihr Server verwundbar ist. (Erfordert einige Kenntnisse Commandline)

Andere Tipps

Eine weitere gute Lösung und mein persönlicher Favorit (vor allem, wenn der Code zu entwickeln, die nicht unter meiner strengen .htaccess Kontrolle bleiben könnten) werden die tatsächliche INI-Datei zu sichern. Dank einer Art Seele hier - Benutzerhinweise: pd bei frozen-Bits punkt de , was ich tue, ist: 

my.ini -> changes to my.ini.php

my.ini.php beginnt: 

;<?php
;die(); // For further security
;/*
    [category]
    name="value"

;*/

Funktioniert perfekt! Besuchen Sie die Datei direkt und alles, was Sie sehen, ist ‚;‘ und ist eine gültige, parseable INI-Datei. Was ist nicht zu mögen:)

Einige Hinweise auf tatsächliche Umsetzung (Entschuldigung, wenn dies zählt als „Over“, aber vielleicht jemand etwas Zeit sparen):

  1. Diese Datei macht meine IDE sehr Upset und es hält auf auto-umformatieren versuchen, die dann PHP Upset macht. Segen auf Notepad ++ sein.
  2. Sie das Schließen ;*/ nicht vergessen. Es funktioniert immer noch, wenn Sie es verlassen, aber PHP warnt Sie, dass es im Begriff ist, Upset zu werden.

Sortierte.

Die Datei wird von Apache nicht sichtbar sein. Offensichtlich ist die beste Option ist, um es außerhalb Ihrer Website Wurzel. Wenn Sie das nicht tun können, .htaccess-Dateien (oder ähnliche Richtlinien in Ihrer Apache configs) ist so ziemlich die einzige Möglichkeit.

Lizenziert unter: CC-BY-SA mit Zuschreibung
Nicht verbunden mit StackOverflow
scroll top