Защита файлов на сервере(chmod)
Да и вот еще что, в каких файлах лучше хранить пароли и имена пользователей?
Может где это уже и написано, просто у меня интернет плохой, локальной сети нет, поэтому серфить страницы форума особо не могу...
В зависимости от задачи.
(обыным страницам, админ страницам,php-скриптам, txt-с ответами гостевой книги и т.д)?
Очень сильно зависит от настроек хостинга. Но вообще-то ставь доступ для всех и не мучся.
Да и вот еще что, в каких файлах лучше хранить пароли и имена пользователей?
Ну если разговор про Апач, то подобные вещи для прохождения базовой авторизации хранят в текстовом файлае ВНЕ диретории сайта в зашифрованном виде (шифрация ведется утилитой htpasswd.exe из папки bin).
Но я думаю, что это все же не твой случай. В твоем случае лучше хранить аккаунты в обычном php скрипте в виде массива, а там, где эти данные нужны просто делать include_once().
На счет файлов, главное что бы апач мог прочитать/выполнить файл, ну тут уже нужно конкретную ситуацию рассматривать (кто является владельцем, какая группа).
На счет директорий, обычно убирают атрибут "r" что бы посторонние товарищи не рылись. :cool:
И еще, читал про md5-хеши... Вродебы существуют декодеры а вообще польза есть нет от нее? :confused:
А это действительно безопасно? Хранить логины и пароли в обычном php скрипте, в виде массивов?
И еще, читал про md5-хеши...
Ну так можно хранить пароли в виде md5 хешей или ещё чего нибудь зашифровоного.
На счет файлов, главное что бы апач мог прочитать/выполнить файл, ну тут уже нужно конкретную ситуацию рассматривать (кто является владельцем, какая группа).
Нередко Апач работает от лица nobody или www. Т.е. имеет фактически теже права, что и любой клиент просматривающий страницы. Так что если закрыть директорию через ftp клиент, то в неё конечно чужие не попадут, но и Апач (считай запущеный скрипт) этого файла не получит. Так что необходимость каких-то особых настроект с правами на файл крайне сомнительна.
Полную гарантию в этом мире може дать только старух с косою ;) .
А в чем тут опасность? Если даже пользователь узнает адрес такого скрипта и запустит его через браузер то ни чего не увидет. Ибо массив создасться на сервере и на клиент просто не будет передан. В тоже время твои скрипты смогут загружать данные из этого массива через тот же include_once().
Конечно есть способы и этот метод взломать. Однако насчет гарантий см. выше ;).
Кроме того... ты же не паришься, когда управляешь своим хостом через ftp-клиент? Думаешь ли ты при этом о безопасности? А между тем, по ftp передаются незашифрованные данные в открытом виде и любой кто сможет перехватить эти пакеты сможет влезть на твой хост и орудовать там как заблагорассудиться.
И еще, читал про md5-хеши... Вродебы существуют декодеры а вообще польза есть нет от нее? :confused:
См. выше. Взломать можно всё. Это лишь вопрос отношения затрат/прибыли_от_взлома.
От перехвата это не спасает ;).
md5 пока что не расшифровали, по крайней мере, так можно считать. Составили достаточно большую базу соответствий, но длина пароля не очень большая. Поэтому чтобы более или менее надежно зашифровать пароль, стоит использовать нечто вроде md5($login.$pwd.'1275utixgcjzhygYFRJHt'). Такое уже фиг сломаешь :)
Угу... но это только когда имешь доступ к конфигу Апача, а еще лучше root-а :D .
Но чаще бывает так: хостер говорит, что де "наш Apache работает с правами nobody, если скриптам нужен доступ к файла, ставьте на файла полный доступа".
А .htaccess наоборот относится к web-серверу и защитить каталог от локального сценария никак не может.
Имхо, вынос выше public_html решает часть пробемы связанную с http, но это не значит "риска нет, какие бы права там ни стояли на них".
Хм... а что, есть способ скрипту пройти базовую авторизацию установленную через .htaccess?? Я помниться задавался этой проблемой, но ни чего путного так и не нашел.
Мы ведь рассматриваем данную тему в контексте запрета доступа к файлам всем и разрешения доступа к файлам только нашим скриптам.
Не хочу лишний раз создавать тему, вот возник еще один вопрос:
Хочу написать счетчик посещений, только чтобы он не защитывал мой браузер(компьютер)... Подскажите пожалуйста где можно внести какие нибудь данные в браузере или на компе, потом в скрипте подать запрос на проверку этих данных и если они совпадают с теми что в сервере то не делать инкремент счетчика... Ну что-нибудь в этом виде, если можно пожалуйста...
И еще как можно проверить существование пришедших данных? То есть вот я отправил данные 3 из 5 флажков... На скрипте куда они поступили идет цикл где смотрятся все 5... Скрипт так то работает, только пишет, только те 2 флажка, которые не были выделены, и не пошли в файле куда они должны были поступить выдают ошибку...Как сделать проверку их существования? Замудрил да?
Всем спасибо...
Второй - это авторизоваться через cookies, и чтобы счетчик проверял значение переменной и так же исключал из статистики, если авторизован пользователь под Вашим ID.
Я сейчас только изучаю php, и особо мощно использовать функции и прелести языка не умею...
Надо попробовать сделать через cookies...
А как насчет проверки отправки формы? :confused:
Да, хочу вам выявить свою благодарность за помощь... Респект вам... :)
Кроме того... ты же не паришься, когда управляешь своим хостом через ftp-клиент?
А что кто то до сих пор пользуется обычным ftp протоколом для доступа к рабочему серверу? Ужос ))
У нас бы за такое наверно руки отрывали )
У нас бы за такое наверно руки отрывали )
"...представьте себе, представьте себе" (с) :D
Ну и потом это же не для администрирования под root-ом. Это доступ к хосту.
А что, бывает и по другому? )))) я только по ftp и встречал пока. Хотя есть веб морда с SSL, но там то через скрипты которые при загрузки больших файлов вылетают в таймаут :D .
Видно, скрипты криво написаны ;) Perl может закачивать файлы любых размеров на сервер, как это ни забавно звучало бы.
[quote=Rine]Я сейчас только изучаю php, и особо мощно использовать функции и прелести языка не умею...
Надо попробовать сделать через cookies...[/quote]
Другого вариантка кроме куков и нет, если игнор по IP не подходит.
Непонятно, о каких файлах и флажках вообще идет речь? Приведите исходные коды, в которых указана форма и потом цикл проверки "флажков", пожалуйста. и обозначьте четче в чем проблема и что требуется получить на выходе.
Ну и потом это же не для администрирования под root-ом. Это доступ к хосту.
А что, бывает и по другому? )))) я только по ftp и встречал пока.
Ну не вижу никокой причины почему бы вашим хостерам не предоставлять sftp доступ. Сомневаюсь, что у них отсутствует ssh сервер.
Хорошо... Скину исходный код чуть позже...
А вообще я просто хотел узнать функции, которые проверяют пришол ли $_GET или $_POST запрос...