| Autor | Správa |
|---|
camo
Zablokovaný užívateľ
Založený: 05.09.2009
Príspevky: 1176
Bydlisko: Lehota pod Vtáčnikom
 |  Zaslal: Pi 04.11.11 11:00 |   |
Srdečný pozdrav a prianie všetkého dobrého z malebnej dedinky pod horami...
Mám problém. Vyzerá to tak, že som štruktúru adresárov navrhol blbo a teraz sa mi to už nechce prerábať. Ide o to, že nemôžem súbory webu skryť cez .htaccess tak ako som to chcel urobiť. Sám sa k nim potom nedostanem....
A problém je v tom, či sa nejaký záškodník dokáže dostať ku zdrojovému kódu nechránených súborov a potreboval by som vedieť ako(aby som to pochopil, lebo som zjavne tak blbý, že som to doteraz nechápal...). Všetky tie súbory sú s koncovkou php. Mne sa to teda cez file_get_contents nepodarilo, ale ja som neni hacker...
Ďakujem. |
| |
    |
|
BX
Užívateľ
Založený: 17.07.2011
Príspevky: 92
| | Zaslal: Pi 04.11.11 12:01 | |
To záleží na veľa veciach. Daj nejaký konkrétny príklad, ako a kde máš tieto súbory uložené a čo je v nich. |
| |
|
|
camo
Zablokovaný užívateľ
Založený: 05.09.2009
Príspevky: 1176
Bydlisko: Lehota pod Vtáčnikom
| | Zaslal: Pi 04.11.11 13:24 | |
Aký príklad?
Tu je súbor:
http://web.php5.sk/lol.php
Vieš sa dostať ku jeho zdrojovému kódu? A ak hej tak ako resp. ako tomu zabránim? |
| |
|
|
JanoF
Správca fóra
Založený: 01.05.2005
Príspevky: 8732
Bydlisko: Bratislava
Vek: 27
| | Zaslal: Pi 04.11.11 13:31 | |
Subor php spracuvava server, nie klient, cize obsah mas sancu vidiet jedine ak by bol zle nakonfigurovany server, mal si napisane chybnu aplikaciu kde by sa dal za pomoci tejto chyby prezriet obsah php suborov, ale inac sa k obsahu nemas ako dostat. Klient dostane len vystup. |
_________________
Skrinka: Nexus Morpho & Enermax UCTB12P | Zdroj: Enermax EMG800AWT 800W | Základná doska: Asus Rampage III Gene | Procesor: Intel Core i7 990X Extreme Edition 3.46 GHz & Scythe Susanoo SCSO-1000 | Pamäť: Kingston HyperX XMP 24 GB DDR3 1600 MHz | Grafická karta: Asus GeForce GT 440 1 GB DDR3 & Thermalright HR-03 | Pevný disk: Intel SSD 510 Series 250 GB & Hitachi Deskstar 5K4000 4000 GB | Optická mechanika: Plextor PX-820SA | Čítačka kariet: Akasa AK-ICR-11 | Klávesnica: Logitech G19 | Myš: Logitech G9x & Razer Kabuto | Monitor: 24" LCD Eizo FlexScan S2431WE | Reproduktory: Logitech Z-2300 | Operačný systém: Microsoft Windows 7 & FreeBSD 9 | Záložný zdroj: APC Back-UPS ES 700 | Spotreba: Idle - 200W / Burn - 400W | Mobil: Nokia N9 64 GB | |
   |
|
camo
Zablokovaný užívateľ
Založený: 05.09.2009
Príspevky: 1176
Bydlisko: Lehota pod Vtáčnikom
| | Zaslal: Pi 04.11.11 13:45 | |
Takže sa nemusím tým ďalej stresovať? Koncovky sú php žiadne inc... takže ani cez napr. fsockopen() by to nešlo? To som len tak skúsil, neviem presne ako tá funkcia funguje... |
| |
|
|
walther
Užívateľ
Založený: 24.01.2008
Príspevky: 10194
Bydlisko: Bratislava
Vek: 24
| | Zaslal: Pi 04.11.11 13:50 | |
| camo napísal: | | Takže sa nemusím tým ďalej stresovať? Koncovky sú php žiadne inc... takže ani cez napr. fsockopen() by to nešlo? To som len tak skúsil, neviem presne ako tá funkcia funguje... |
Vieš si predstaviť situáciu, kedy by to naozaj takto išlo, že by si si napísal skript a pripojil sa na ľubovoľný server len tak, stiahol si zdrojáky a robil si čo sa ti zachce...? Pokiaľ máš správne nakonfigurovaný server, tak platí to, čo písal Jano. |
| |
|
|
camo
Zablokovaný užívateľ
Založený: 05.09.2009
Príspevky: 1176
Bydlisko: Lehota pod Vtáčnikom
| | Zaslal: Pi 04.11.11 14:02 | |
walther:
Vieš si predstaviť že sa niekto napichne na tvoju komunikáciu so serverom, získa tvoje heslo/session a potom sa začne vydávať za teba? Tak ak je možné toto, tak sa normálne pýtam, či náhodou neni možné aj to na čo som sa pýtal...
Alebo inak: Načo sa potom vytvárajú adresáre nad rootom alebo načo je v .htaccess direktiva deny from all???
A posledná otázka ktorou to zabetónujem:
Práve sa prehrabávam v administrácii webglobe a mám tam možnosť nastaviť premennú allow_url_fopen. Neviem čo to znamená... Nemá to s tým niečo spoločné resp. na čo to je dobré? |
| |
|
|
Ďuri
Administrátor
Založený: 11.08.2007
Príspevky: 3781
Bydlisko: Brno
| | Zaslal: Pi 04.11.11 15:47 | |
Nepochopil si, ako to cele funguje. Standardne jediny sposob, ako sa zvonka dostat k tomu lol.php, je HTTP protokolom, preto tvoju poziadavku musi obsluzit HTTP server (asi Apache), a ten, ak mas spravne nakonfenu podporu PHP, vonku tie zdrojaky nepusti.
Deny from all je z dovodu, ze mozes chciet zakazat pristup k suborom, ktore server vrati tak, ako su (obycajne textove subory, obrazky, atd.), alebo chces napriklad zakazat spustenie toho PHP skriptu v subore.
http://www.php.net/manual/en/filesystem.configuration.php#ini.allow-url-fopen |
| |
 |
|
camo
Zablokovaný užívateľ
Založený: 05.09.2009
Príspevky: 1176
Bydlisko: Lehota pod Vtáčnikom
| | Zaslal: Pi 04.11.11 18:03 | |
Dobre, už som sa ukľudnil.
Ďakujem za odpovede. |
| |
|
|
|
