¿Es seguro negar el acceso al archivo .ini en .htaccess?

StackOverflow https://stackoverflow.com/questions/216019

  •  03-07-2019
  •  | 
  •  

Pregunta

Tengo un archivo .ini con información confidencial en mi aplicación php wab. Le negué el acceso usando un archivo .htaccess: 

<files my.ini>
  order deny,allow
  deny from all
</files>

No tengo acceso a carpetas fuera de htdocs, por lo que no puedo mover el archivo .ini fuera del territorio de navegación.

¿Es segura mi solución?

¿Fue útil?

Solución

El .htaccess bloqueará el acceso desde la web. Sin embargo, si está utilizando un entorno de alojamiento compartido, es posible que otros usuarios accedan a su ini. Si está en un servidor (virtual privado) y usted es el único usuario para ese servidor, está seguro.

En caso de hosting compartido depende de la configuración del servidor. Para obtener más información, lea: Seguridad de PHP en un entorno de alojamiento compartido

Puede instalar PHPShell temporalmente y navegar por el sistema de archivos del servidor para verificar si su servidor es vulnerable. (requiere algún conocimiento de línea de comandos)

Otros consejos

Otra buena solución y mi favorito personal (especialmente cuando se desarrolla un código que podría no permanecer bajo mi estricto control .htaccess) es asegurar el archivo .ini real. Gracias a un alma amable aquí - notas del usuario: pd at frozen-bits dot de , lo que hago es: 

my.ini -> changes to my.ini.php

my.ini.php comienza: 

;<?php
;die(); // For further security
;/*
    [category]
    name="value"

;*/

Funciona perfectamente! Accede al archivo directamente y todo lo que ves es ';' y es un archivo .ini válido y analizable. Lo que no me gusta :)

Algunas notas sobre la implementación real (disculpas si esto cuenta como " exceso de recursos " pero tal vez ahorre a alguien):

  1. Este archivo hace que mi IDE esté muy molesto y sigue intentando reformatearlo automáticamente, lo que hace que PHP se altere. Las bendiciones estén en el Bloc de notas ++.
  2. No olvide el de cierre; * / . Aún funciona si lo dejas, pero PHP te advierte que está a punto de volverse molesto.

Ordenado.

El archivo no será visible desde apache. Obviamente, la mejor opción es colocarlo fuera de la raíz de su sitio. Si no puede hacerlo, los archivos .htaccess (o directivas similares en sus configuraciones de apache) son prácticamente su única opción.

Licenciado bajo: CC-BY-SA con atribución
No afiliado a StackOverflow
scroll top