È sicuro negare l'accesso al file .ini in .htaccess?

StackOverflow https://stackoverflow.com/questions/216019

  •  03-07-2019
  •  | 
  •  

Domanda

Ho un file .ini con informazioni sensibili nella mia app php wab. Ho negato l'accesso ad esso utilizzando un file .htaccess: 

<files my.ini>
  order deny,allow
  deny from all
</files>

Non ho accesso a cartelle esterne a htdocs, quindi non riesco a spostare il file .ini fuori dal territorio navigabile.

La mia soluzione è sicura?

È stato utile?

Soluzione

.htaccess bloccherà l'accesso dal web. Tuttavia, se si utilizza un ambiente di hosting condiviso, potrebbe essere possibile che altri utenti accedano al proprio ini. Se si trova su un server (virtuale privato) e sei l'unico utente per quel server, sei al sicuro.

In caso di hosting condiviso dipende dalla configurazione del server. Per maggiori informazioni leggi: Sicurezza PHP in un ambiente di hosting condiviso

Puoi installare temporaneamente PHPShell e navigare nel filesystem del server per verificare se il tuo server è vulnerabile. (richiede alcune conoscenze da riga di comando)

Altri suggerimenti

Un'altra buona soluzione e il mio preferito (specialmente durante lo sviluppo di codice che potrebbe non rimanere sotto il mio rigoroso controllo .htaccess) è la protezione del file .ini effettivo. Grazie a un'anima gentile qui - note per l'utente: pd at frozen-bit dot de , quello che faccio è: 

my.ini -> changes to my.ini.php

my.ini.php inizia: 

;<?php
;die(); // For further security
;/*
    [category]
    name="value"

;*/

Funziona perfettamente! Accedi direttamente al file e tutto ciò che vedi è ';' e è un file .ini valido e analizzabile. Cosa non va :)

Alcune note sull'attuazione effettiva (si scusa se questo conta come "overshare", ma forse fa risparmiare tempo a qualcuno):

  1. Questo file rende il mio IDE molto sconvolto e continua a provare a riformattarsi automaticamente, il che rende quindi sconvolto PHP. Le benedizioni sono su Notepad ++.
  2. Non dimenticare il di chiusura; * / . Funziona ancora se lo lasci fuori, ma PHP ti avverte che sta per diventare Upset.

Ordinato.

Il file non sarà visibile da Apache. Ovviamente l'opzione migliore è metterlo al di fuori della radice del tuo sito. Se non riesci a farlo, i file .htaccess (o direttive simili nelle tue configurazioni di Apache) sono praticamente la tua unica opzione.

Autorizzato sotto: CC-BY-SA insieme a attribuzione
Non affiliato a StackOverflow
scroll top