Доступ к файлам

@pixel · Регистрация: 19.05.2009

Студворк — интернет-сервис помощи студентам

Приветствую.
Химичу тут с одним сайтом и задумался о безопасности. Я использую обычный файл типа config.php для хранения в нем данных для доступа к БД и т.п. Могут ли злоумышленники получить доступ к содержимому данного файла? Т.е. нужно ли его куда то прятать и т.п.

KOPOJI · 16.08.2012, 21:37

да, могут. да, нужно.

Добавлено через 36 секунд
почитайте про запароливание папок через htaccess для начала

@pixel · 17.08.2012, 08:23 **[ТС]**

хотелось бы понять, каким образом могут получить доступ, если при вызове данного файла из браузера - в браузерничего не выводится и в исходном коде пусто. про htaccess в курсе, блокировал доступ к файлам, но смогут ли скрипты к ним обращаться?

KOPOJI · 17.08.2012, 09:01

скрипты также через пароль будут получать доступ. можно вынести нужные файлы за корневую директорию и работать так с ними..
можно через define - в одном файле(который подключает) объявляете какую то константу, а в другом подключаемом проверяете - если не объявлена эта константа, то делаете редирект на какую то страницу.

@pixel · 17.08.2012, 15:13 **[ТС]**

Сообщение от KOPOJI

можно через define - в одном файле(который подключает) объявляете какую то константу, а в другом подключаемом проверяете - если не объявлена эта константа, то делаете редирект на какую то страницу.

что то не пойму, я в config.php как раз и объявляю константы с паролями и префиксами разными.

@Astatroth · 17.08.2012, 15:21

Например

В начале index.php, до подключения всех остальных файлов

PHP
1
2
define ('ENGINE', '1');
.....

В том же config.php

PHP
1
2
3
if (!defined('ENGINE'))
    die();
....

@pixel · 17.08.2012, 15:47 **[ТС]**

и это спасет от доступа к файлу config.php и соответственно от кражи паролей доступа к БД?

KOPOJI · 17.08.2012, 15:59

частично. если злоумышленник не узнает какую константу вы объявили.

@pixel · 17.08.2012, 16:08 **[ТС]**

странно все это. узнать константу можно только при физическом доступе к файлу с просмотром содержимого.
т.е.

PHP
1
define ('ENGINE', '1');

нужно ставить в каждом файле, который подключает config.php?

KOPOJI · 17.08.2012, 16:28

да. только придумайте константу посложнее, можно что нить типа такого

PHP
1
define('__ACCESS_Engine',true);

Добавлено через 33 секунды

Сообщение от pixel

узнать константу можно только при физическом доступе к файлу с просмотром содержимого

а что вы сделаете с конфигом бд без доступа к файлу?

@pixel · 17.08.2012, 16:31 **[ТС]**

тогда и не понятно, зачем нужно мудрить с константами, если для получения пароля к БД все равно нужны пароли для доступа на сервак хостера (панель управления)? или я чего то не догоняю?

KOPOJI · 17.08.2012, 16:38

а если взломают хостера?

Добавлено через 3 минуты
тем более представь такую ситуацию. я узнал где он у тебя находится. у тебя внутри прописано что то наподобие такого

PHP
1
2
3
4
5
6
7
8
<?php if(!defined("ENGINE")) {
header("Location: index.php");
exit;
}
else {
//выполняю коннект к БД
}
?>

и в нужных файлах она объявляется. так вот, я знаю где он у тебя находится, ввожу его адрес чтобы выполнить какую то комманду к примеру и..
.. и перелетаю на главную страницу. если образно, то как то так

@pixel · 17.08.2012, 17:01 **[ТС]**

не у меня в конфиге только перечислены константы и присвоенные им логины, пароли, пути и т.п. у меня вообще данный проект делается не как сайт, а как промежуточное звено между прогой на дельфи и конечным сайтом, на котором нужно внести изменения.

@pixel · 18.08.2012, 23:08 **[ТС]**

тем более, какая конструкция более правильная: эта

Сообщение от KOPOJI

PHP
1
2
3
4
5
6
7
8
<?php if(!defined("ENGINE")) {
header("Location: index.php");
exit;
}
else {
//выполняю коннект к БД
}
?>

либо эта:

PHP
1
2
3
<?php if(!defined("ENGINE")) die();
//выполняю коннект к БД
?>

KOPOJI · 18.08.2012, 23:48

пожалуй, правильнее первая. в первом случае, если не объявлена константа - то произойдет мгновенный редирект (его заметить можно только по изменению адреса) на другую страницу, и ты ничего не сделаешь, а во втором случае просто отобразится чистый лист, и можно будет что нибудь да придумать..

Добавлено через 52 секунды
хотя.. нет ничего невозможного в нашем бренном мире

Новые блоги и статьи Все статьи Все блоги /
Символьное дифференцирование igorrr37 13.02.2026 / * Логарифм записывается как: (x-2)log(x^2+2) - означает логарифм (x^2+2) по основанию (x-2). Унарный минус обозначается как ! */ #include <iostream> #include <stack> #include <cctype>. . .	Камера Toupcam IUA500KMA Eddy_Em 12.02.2026 Т. к. у всяких "хикроботов" слишком уж мелкий пиксель, для подсмотра в ESPriF они вообще плохо годятся: уже 14 величину можно рассмотреть еле-еле лишь на экспозициях под 3 секунды (а то и больше),. . .	И ясному Солнцу zbw 12.02.2026 И ясному Солнцу, и светлой Луне. В мире покоя нет и люди не могут жить в тишине. А жить им немного лет.	«Знание-Сила» zbw 12.02.2026 «Знание-Сила» «Время-Деньги» «Деньги -Пуля»
SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 12.02.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 11.02.2026 Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL3_image 8Observer8 10.02.2026 Содержание блога Библиотека SDL3_image содержит инструменты для расширенной работы с изображениями. Пошагово создадим проект для загрузки изображения формата PNG с альфа-каналом (с прозрачным. . .	Установка Qt-версии Lazarus IDE в Debian Trixie Xfce volvo 10.02.2026 В общем, достали меня глюки IDE Лазаруса, собранной с использованием набора виджетов Gtk2 (конкретно: если набирать текст в редакторе и вызвать подсказку через Ctrl+Space, то после закрытия окошка. . .

@pixel 26 / 19 / 5 Регистрация: 19.05.2009 Сообщений: 2,290

	Доступ к файлам 16.08.2012, 21:17. Показов 1761. Ответов 14 Метки нет (Все метки) Приветствую. Химичу тут с одним сайтом и задумался о безопасности. Я использую обычный файл типа config.php для хранения в нем данных для доступа к БД и т.п. Могут ли злоумышленники получить доступ к содержимому данного файла? Т.е. нужно ли его куда то прятать и т.п. 0

KOPOJI Почетный модератор 16844 / 6724 / 880 Регистрация: 12.06.2012 Сообщений: 19,967
	16.08.2012, 21:37
	да, могут. да, нужно. Добавлено через 36 секунд почитайте про запароливание папок через htaccess для начала 0

@pixel 26 / 19 / 5 Регистрация: 19.05.2009 Сообщений: 2,290
	17.08.2012, 08:23 [ТС]
	хотелось бы понять, каким образом могут получить доступ, если при вызове данного файла из браузера - в браузерничего не выводится и в исходном коде пусто. про htaccess в курсе, блокировал доступ к файлам, но смогут ли скрипты к ним обращаться? 0

KOPOJI Почетный модератор 16844 / 6724 / 880 Регистрация: 12.06.2012 Сообщений: 19,967
	17.08.2012, 09:01
	скрипты также через пароль будут получать доступ. можно вынести нужные файлы за корневую директорию и работать так с ними.. можно через define - в одном файле(который подключает) объявляете какую то константу, а в другом подключаемом проверяете - если не объявлена эта константа, то делаете редирект на какую то страницу. 0

@pixel 26 / 19 / 5 Регистрация: 19.05.2009 Сообщений: 2,290
	17.08.2012, 15:47 [ТС]
	и это спасет от доступа к файлу config.php и соответственно от кражи паролей доступа к БД? 0

KOPOJI Почетный модератор 16844 / 6724 / 880 Регистрация: 12.06.2012 Сообщений: 19,967
	17.08.2012, 15:59
	частично. если злоумышленник не узнает какую константу вы объявили. 0

@pixel 26 / 19 / 5 Регистрация: 19.05.2009 Сообщений: 2,290
	17.08.2012, 16:31 [ТС]
	тогда и не понятно, зачем нужно мудрить с константами, если для получения пароля к БД все равно нужны пароли для доступа на сервак хостера (панель управления)? или я чего то не догоняю? 0

@pixel 26 / 19 / 5 Регистрация: 19.05.2009 Сообщений: 2,290
	17.08.2012, 17:01 [ТС]
	не у меня в конфиге только перечислены константы и присвоенные им логины, пароли, пути и т.п. у меня вообще данный проект делается не как сайт, а как промежуточное звено между прогой на дельфи и конечным сайтом, на котором нужно внести изменения. 0

KOPOJI Почетный модератор 16844 / 6724 / 880 Регистрация: 12.06.2012 Сообщений: 19,967
	18.08.2012, 23:48
	пожалуй, правильнее первая. в первом случае, если не объявлена константа - то произойдет мгновенный редирект (его заметить можно только по изменению адреса) на другую страницу, и ты ничего не сделаешь, а во втором случае просто отобразится чистый лист, и можно будет что нибудь да придумать.. Добавлено через 52 секунды хотя.. нет ничего невозможного в нашем бренном мире 0