безопасность

@Nebiros · Регистрация: 23.03.2010

Author24 — интернет-сервис помощи студентам

зачастую видел уже в чужих готовых проектах такую последовательность

config.php

PHP

session_start();
if(!CONS) exit();
$host="localhost"; 
$user="user"; 
$pas="pass"; 
$db="database";
$link=mysql_connect($host,$user,$pas);
mysql_select_db($db);
define(CONST,true);

index.php

PHP

1
2
3

define(CONS,true);
include "config.php";
if(!CONST){ exit();

как я понял если каким то образом залезть в конфиг то там ничего неполучиш (как понятия не имею), обьясните зачем такая конструкция? (ведь это все на сервере строится)

И тут же по теме - какие есть еще стандартные защиты от проникновения и взлома? (так сказать стандартные ошибки)

P.s. - на счет прав доступа и ошибки доступа 0777 в курсе...

@gephaest · 20.03.2012, 15:32

Если зайти на страницу не через index.php, то скрипит вылетит.

@Nebiros · 20.03.2012, 15:49 **[ТС]**

Сообщение от gephaest

Если зайти на страницу не через index.php, то скрипит вылетит.

с какого он вылетит? В первой строке устанавливается константа чтобы в конфиге не вылететь...
но даже если и небудет этих констант то что с этого изменится?

@r36 · 20.03.2012, 16:21

В config.php передаётся константа если она не установлено дальше код не выполняется происходит завершение exit();.
Если допустим на сервере будет уязвимость например удалённый include то ни какие конструкции не спасут от просмотра php кода.

Не по теме:

У меня был проект в котором нужно было защитить исходники от просмотра в том числе и от администрации хостинга тогда я зашифровал файлы по паролю передавал пароль через куки, файл дополнительно проходил обфускатором.

crautcher · 20.03.2012, 16:26

Сообщение от r36

В config.php передаётся константа если она не установлено дальше код не выполняется происходит завершение exit();.
Если допустим на сервере будет уязвимость например удалённый include то ни какие конструкции не спасут от просмотра php кода.

ну мне даже интересно стало , врубил я удаленный инклюд , подключил файл с другого сервера и нефига , подключается только вывод . Скажу что без взлома никакими хитростями не получить эти переменные

@Nebiros · 20.03.2012, 16:53 **[ТС]**

Сообщение от crautcher

Скажу что без взлома никакими хитростями не получить эти переменные

и каким образом могут взломать если права к папкам правильно установлены?
я интересуюсь в целях безопасности( точнее если могут както взломать то как это предусмотреть)...

@r36 · 20.03.2012, 17:04

Уязвимость может быть много разных как бы не старались есть всегда хотя бы 1.
Например часто забывают если передать post параметр как массив то получим раскрытие путей.
Пример самая простая уязвимость, выполняет код:

PHP

1 2	include($_GET['s']); exit;

пишу в адресной строке:

.php?s=data:application/x-httpd-php;base64,PD8gZXZhbCgkX0dFVFsnY29kZSddKTsgPz4&code=phpinfo();

..можно прочитать любой файл и показать исходник.
Часто уязвимость определяется если есть вывод сообщений об ошибки можно отключить вывод ошибок:
error_reporting(0);
тогда ошибка не отображается, но можно проводить по задержке по времени выполнения.

@gephaest 35 / 35 / 7 Регистрация: 27.03.2011 Сообщений: 146
	20.03.2012, 15:32	2
	Если зайти на страницу не через index.php, то скрипит вылетит. 0

@Nebiros 41 / 40 / 16 Регистрация: 23.03.2010 Сообщений: 3,122
	20.03.2012, 15:49 [ТС]	3
	Сообщение от gephaest Если зайти на страницу не через index.php, то скрипит вылетит. с какого он вылетит? В первой строке устанавливается константа чтобы в конфиге не вылететь... но даже если и небудет этих констант то что с этого изменится? 0

@r36 238 / 235 / 43 Регистрация: 16.03.2011 Сообщений: 750
	20.03.2012, 16:21	4
	В config.php передаётся константа если она не установлено дальше код не выполняется происходит завершение exit();. Если допустим на сервере будет уязвимость например удалённый include то ни какие конструкции не спасут от просмотра php кода. Не по теме: У меня был проект в котором нужно было защитить исходники от просмотра в том числе и от администрации хостинга тогда я зашифровал файлы по паролю передавал пароль через куки, файл дополнительно проходил обфускатором. 0

crautcher 2432 / 2282 / 594 Регистрация: 27.05.2011 Сообщений: 7,801
	20.03.2012, 16:26	5
	Сообщение от r36 В config.php передаётся константа если она не установлено дальше код не выполняется происходит завершение exit();. Если допустим на сервере будет уязвимость например удалённый include то ни какие конструкции не спасут от просмотра php кода. ну мне даже интересно стало , врубил я удаленный инклюд , подключил файл с другого сервера и нефига , подключается только вывод . Скажу что без взлома никакими хитростями не получить эти переменные 0

@Nebiros 41 / 40 / 16 Регистрация: 23.03.2010 Сообщений: 3,122
	20.03.2012, 16:53 [ТС]	6
	Сообщение от crautcher Скажу что без взлома никакими хитростями не получить эти переменные и каким образом могут взломать если права к папкам правильно установлены? я интересуюсь в целях безопасности( точнее если могут както взломать то как это предусмотреть)... 0

	20.03.2012, 17:04