PHP в деталях



         

Комментарии к статье ""


11.12.2001 08:19  DiMA  []

Хм, тут ни слова нет о действительно важных проблемах. Где линки на русский ман по апачу? Все это и более того можно прочитать в формате документации на русском языке.

1. Важная проблема - Location и его скрытая угроза в безопасности. Товарищ, спец по безопасности, я хотел бы услышать комментарии, если не затруднит. Хотя тут вообще ни слова о Location. Такая команда есть, 100% :)

2. Не решённая хотя бы для меня лично проблема - как в DIRECTORY писать локальный путь от DOCUMENT_ROOT? Вот ответите, как это сделать, спасибо скажу. Типа написать нечто такое: ...

Вот это чушь:

AddType application/x-httpd-php .html

Если у нас нет какого-то модуля, из-за которого AddType будет не выполнен, то получиться, что PHP программы станут простыми текстовыми файлами и станут доступны для скачивания. Это как бы сделать ошибку, влекущую следующие ошибки. А если апач из-за первой ошибки свалится, то так ему и надо. Зато пхп код на месте.

12.12.2001 05:58  DVA

Ммм.. а можно положить этот код в файл, доступный для скачивания ?

13.12.2001 04:27  Шурик  []

АddType совсем не чушь. Очень помогает от дураков хакеров.

А чтобы не были твои пхп и другие файлы доступны для скачивания

отредактируй .htaccess файл. И ничего не будет доступно.

Options -Indexes

вполне решает эту проблему.

13.12.2001 15:28  Роман Яцевич  []

Действительно - тут нет про террористов, про курс доллара, про морозы и т.д. А ведь это такие серьёзные и Важные проблемы!

Кстати, а действительно: "Где линки на русский ман?". В том то и проблема - что там можно прочитать ВСЁ! И это ВСЁ нужно единицам! Я же предлагаю один из реальных и проверенных вариантов решений с "виртуальными" директориями... Не более и не менее...

1. Зачем рассказывать как "бороться" с дырой в безопасности при использовании Location, если её(директиву :) можно просто не использовать! Убедите меня (и читателей) хотя бы парой-тройкой аргументов, что без Location нельзя жить - и, возможно, комментарии появятся на данной странице.

2. Насколько я понимаю - подобного механизма в официальной поставке просто нет. Но буду рад ошибиться... :(

Про "чушь":

Насколько я понимаю Вы про расширение .html. Ну, для начала я не понимаю, причем здесь само расширение? Положите файл .php на сервер с отключенным PHP и вы получите то же самое! А вот для решения той проблемы, которую Вы описали, я предлагаю серию действий, и все они описаны в статье (Вы просто невнимательно читали):

а) Вынести весь PHP-код за пределы DOCUMENT_ROOT. Исполнение кода осуществляется выполнением include(нужный_файл) из единственного index.html файла доступного из DOCUMENT_ROOT. Конечно это не догма - возможны несколько точек входа, но это детали - главное, что в пределах DOCUMENT_ROOT находятся только "оболочки", которые вызывают нужный код из недр сервера, которые недоступны по HTTP.

б) Даже если, по каким либо причинам, реальный PHP-код временно находится в пределах DOCUMENT_ROOT, я предлагаю названия всех файлов, которые хочется спрятать от посторонних глаз, начинать с ".", а Apache настроить на то, чтобы он такие файлы не отдавал пользователю ни при каких условиях (см. второе правило в настройке Rewrite).

<


Содержание  Назад  Вперед