config.php cofre no hacker de raiz com o conjunto de permissão para 644?
https://stackoverflow.com/questions/1417591
-
07-07-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Eu seguro para lugar config.php na raiz do seu site, embora tenha premissions definido para 644?
Solução
Enquanto ninguém tem um SSH ou acesso FTP ao seu servidor, e que não há nenhum bug / falha de segurança em seu site que iria permitir que qualquer pessoa para acessar as fontes dos arquivos PHP, esta deve ser bastante OK.
Note que o usuário Apache tem de acesso que o arquivo (para que ele possa ser incluído de outros scripts PHP) ; assim, onde quer que você colocá-lo, se você tiver uma falha de segurança que permite que arquivos PHP para ser lido por usuários, não vai mudar nada.
Uma idéia poderia ser a de colocar isso fora da raiz do documento de arquivo, ou dentro de um diretório protegido por um arquivo .htaccess negar o acesso de qualquer pessoa - pelo menos, desta forma, se o servidor não está bem configurado e exibe o código-fonte de arquivos PHP, não seria exibido o conteúdo do arquivo (como não poderia ser de acesso / servido directamente via HTTP) .
Isto não ajuda no caso de uma falha de segurança que permite arquivo PHP para exibir o conteúdo de outros arquivos PHP (eu vi isso acontecer) , mas que ainda seria um primeiro passo .
Outras dicas
seu config.php deve ser legível pelo seu serevr web, e não mexer com permissões vai mudar isso. Além disso, colocá-lo em qualquer outro lugar não vai ajudar muito -. porque desde seu código PHP deve ser capaz de lê-lo, qualquer hacker que conseguir executar seu código em seu servidor será capaz de lê-lo
Assim, não importa onde você colocá-lo, está em perigo de ser acessada por um hacker que conseguiu hackear o servidor. colocando-o na raiz da web não é mais ou menos seguro do que colocá-lo em qualquer outro lugar.
