config.php cofre no hacker de raiz com o conjunto de permissão para 644?
-
07-07-2019 - |
Pergunta
Eu seguro para lugar config.php na raiz do seu site, embora tenha premissions definido para 644?
Solução
Enquanto ninguém tem um SSH ou acesso FTP ao seu servidor, e que não há nenhum bug / falha de segurança em seu site que iria permitir que qualquer pessoa para acessar as fontes dos arquivos PHP, esta deve ser bastante OK.
Note que o usuário Apache tem de acesso que o arquivo (para que ele possa ser incluído de outros scripts PHP) ; assim, onde quer que você colocá-lo, se você tiver uma falha de segurança que permite que arquivos PHP para ser lido por usuários, não vai mudar nada.
Uma idéia poderia ser a de colocar isso fora da raiz do documento de arquivo, ou dentro de um diretório protegido por um arquivo .htaccess negar o acesso de qualquer pessoa - pelo menos, desta forma, se o servidor não está bem configurado e exibe o código-fonte de arquivos PHP, não seria exibido o conteúdo do arquivo (como não poderia ser de acesso / servido directamente via HTTP) .
Isto não ajuda no caso de uma falha de segurança que permite arquivo PHP para exibir o conteúdo de outros arquivos PHP (eu vi isso acontecer) , mas que ainda seria um primeiro passo .
Outras dicas
seu config.php deve ser legível pelo seu serevr web, e não mexer com permissões vai mudar isso. Além disso, colocá-lo em qualquer outro lugar não vai ajudar muito -. porque desde seu código PHP deve ser capaz de lê-lo, qualquer hacker que conseguir executar seu código em seu servidor será capaz de lê-lo
Assim, não importa onde você colocá-lo, está em perigo de ser acessada por um hacker que conseguiu hackear o servidor. colocando-o na raiz da web não é mais ou menos seguro do que colocá-lo em qualquer outro lugar.