Справочник функций

Ваш аккаунт

Войти через: 
Забыли пароль?
Регистрация
Информацию о новых материалах можно получать и без регистрации:

Почтовая рассылка

Подписчиков: -1
Последний выпуск: 19.06.2015

Защита файлов на сервере(chmod)

7.4K
21 апреля 2007 года
Rine
85 / / 31.10.2006
Подскажите пожалуйста какие права доступа нужно выдавать разным файлам на сервере(обыным страницам, админ страницам,php-скриптам, txt-с ответами гостевой книги и т.д)?
Да и вот еще что, в каких файлах лучше хранить пароли и имена пользователей?

Может где это уже и написано, просто у меня интернет плохой, локальной сети нет, поэтому серфить страницы форума особо не могу...
12
21 апреля 2007 года
alekciy
3.0K / / 13.12.2005
Цитата: Rine
Подскажите пожалуйста какие права доступа нужно выдавать разным файлам на сервере


В зависимости от задачи.

Цитата: Rine

(обыным страницам, админ страницам,php-скриптам, txt-с ответами гостевой книги и т.д)?


Очень сильно зависит от настроек хостинга. Но вообще-то ставь доступ для всех и не мучся.

Цитата: Rine

Да и вот еще что, в каких файлах лучше хранить пароли и имена пользователей?


Ну если разговор про Апач, то подобные вещи для прохождения базовой авторизации хранят в текстовом файлае ВНЕ диретории сайта в зашифрованном виде (шифрация ведется утилитой htpasswd.exe из папки bin).
Но я думаю, что это все же не твой случай. В твоем случае лучше хранить аккаунты в обычном php скрипте в виде массива, а там, где эти данные нужны просто делать include_once().

13K
21 апреля 2007 года
whitehood
73 / / 02.11.2006
Вот некие общие рекомендации:
На счет файлов, главное что бы апач мог прочитать/выполнить файл, ну тут уже нужно конкретную ситуацию рассматривать (кто является владельцем, какая группа).
На счет директорий, обычно убирают атрибут "r" что бы посторонние товарищи не рылись. :cool:
7.4K
22 апреля 2007 года
Rine
85 / / 31.10.2006
А это действительно безопасно? Хранить логины и пароли в обычном php скрипте, в виде массивов?

И еще, читал про md5-хеши... Вродебы существуют декодеры а вообще польза есть нет от нее? :confused:
13K
22 апреля 2007 года
whitehood
73 / / 02.11.2006
Цитата:

А это действительно безопасно? Хранить логины и пароли в обычном php скрипте, в виде массивов?

И еще, читал про md5-хеши...



Ну так можно хранить пароли в виде md5 хешей или ещё чего нибудь зашифровоного.

12
22 апреля 2007 года
alekciy
3.0K / / 13.12.2005
Цитата: whitehood
Вот некие общие рекомендации:
На счет файлов, главное что бы апач мог прочитать/выполнить файл, ну тут уже нужно конкретную ситуацию рассматривать (кто является владельцем, какая группа).


Нередко Апач работает от лица nobody или www. Т.е. имеет фактически теже права, что и любой клиент просматривающий страницы. Так что если закрыть директорию через ftp клиент, то в неё конечно чужие не попадут, но и Апач (считай запущеный скрипт) этого файла не получит. Так что необходимость каких-то особых настроект с правами на файл крайне сомнительна.

12
22 апреля 2007 года
alekciy
3.0K / / 13.12.2005
Цитата: Rine
А это действительно безопасно?


Полную гарантию в этом мире може дать только старух с косою ;) .

Цитата: Rine
Хранить логины и пароли в обычном php скрипте, в виде массивов?


А в чем тут опасность? Если даже пользователь узнает адрес такого скрипта и запустит его через браузер то ни чего не увидет. Ибо массив создасться на сервере и на клиент просто не будет передан. В тоже время твои скрипты смогут загружать данные из этого массива через тот же include_once().
Конечно есть способы и этот метод взломать. Однако насчет гарантий см. выше ;).
Кроме того... ты же не паришься, когда управляешь своим хостом через ftp-клиент? Думаешь ли ты при этом о безопасности? А между тем, по ftp передаются незашифрованные данные в открытом виде и любой кто сможет перехватить эти пакеты сможет влезть на твой хост и орудовать там как заблагорассудиться.

Цитата: Rine

И еще, читал про md5-хеши... Вродебы существуют декодеры а вообще польза есть нет от нее? :confused:


См. выше. Взломать можно всё. Это лишь вопрос отношения затрат/прибыли_от_взлома.

12
22 апреля 2007 года
alekciy
3.0K / / 13.12.2005
Цитата: whitehood
Ну так можно хранить пароли в виде md5 хешей или ещё чего нибудь зашифровоного.


От перехвата это не спасает ;).

239
22 апреля 2007 года
Dolonet
1.7K / / 20.05.2000
Хороший вариант - не хранить исполняемые файлы в public_html-директории ВООБЩЕ, грамотно настроить права Apache.
md5 пока что не расшифровали, по крайней мере, так можно считать. Составили достаточно большую базу соответствий, но длина пароля не очень большая. Поэтому чтобы более или менее надежно зашифровать пароль, стоит использовать нечто вроде md5($login.$pwd.'1275utixgcjzhygYFRJHt'). Такое уже фиг сломаешь :)
12
22 апреля 2007 года
alekciy
3.0K / / 13.12.2005
Цитата: Dolonet
Хороший вариант - не хранить исполняемые файлы в public_html-директории ВООБЩЕ, грамотно настроить права Apache.


Угу... но это только когда имешь доступ к конфигу Апача, а еще лучше root-а :D .
Но чаще бывает так: хостер говорит, что де "наш Apache работает с правами nobody, если скриптам нужен доступ к файла, ставьте на файла полный доступа".

239
22 апреля 2007 года
Dolonet
1.7K / / 20.05.2000
Располагать файлы вне public_html может почти каждый хостинг (все популярные), равно как и работать с .htaccess, а если файлы вне директории, то и риска нет, какие бы права там ни стояли на них. Если остальные порты закрыты, конечно.
7.9K
22 апреля 2007 года
vasa_c
191 / / 05.04.2007
Обычно не все понимают, что права на файлы являются правами в файловой системе локальной машины и к доступу по http не имеют отношение.
А .htaccess наоборот относится к web-серверу и защитить каталог от локального сценария никак не может.
Имхо, вынос выше public_html решает часть пробемы связанную с http, но это не значит "риска нет, какие бы права там ни стояли на них".
12
22 апреля 2007 года
alekciy
3.0K / / 13.12.2005
Цитата: Dolonet
равно как и работать с .htaccess


Хм... а что, есть способ скрипту пройти базовую авторизацию установленную через .htaccess?? Я помниться задавался этой проблемой, но ни чего путного так и не нашел.

Мы ведь рассматриваем данную тему в контексте запрета доступа к файлам всем и разрешения доступа к файлам только нашим скриптам.

7.4K
22 апреля 2007 года
Rine
85 / / 31.10.2006
Спасибо всем... За помощь...

Не хочу лишний раз создавать тему, вот возник еще один вопрос:

Хочу написать счетчик посещений, только чтобы он не защитывал мой браузер(компьютер)... Подскажите пожалуйста где можно внести какие нибудь данные в браузере или на компе, потом в скрипте подать запрос на проверку этих данных и если они совпадают с теми что в сервере то не делать инкремент счетчика... Ну что-нибудь в этом виде, если можно пожалуйста...


И еще как можно проверить существование пришедших данных? То есть вот я отправил данные 3 из 5 флажков... На скрипте куда они поступили идет цикл где смотрятся все 5... Скрипт так то работает, только пишет, только те 2 флажка, которые не были выделены, и не пошли в файле куда они должны были поступить выдают ошибку...Как сделать проверку их существования? Замудрил да?

Всем спасибо...
239
22 апреля 2007 года
Dolonet
1.7K / / 20.05.2000
Варианта два - проверять на IP адрес, и в скрипте исключить ведение данных по игнор-листу IP-адресов. Но у Вас IP может быть переменный.
Второй - это авторизоваться через cookies, и чтобы счетчик проверял значение переменной и так же исключал из статистики, если авторизован пользователь под Вашим ID.
7.4K
22 апреля 2007 года
Rine
85 / / 31.10.2006
Еще раз Спасибо... Конечно же я знал метод игнор листа IP адресов... Просто он мне не очень подходит, так как у меня диалапа и придеться закрывать все IP провайдера.

Я сейчас только изучаю php, и особо мощно использовать функции и прелести языка не умею...
Надо попробовать сделать через cookies...

А как насчет проверки отправки формы? :confused:

Да, хочу вам выявить свою благодарность за помощь... Респект вам... :)
240
23 апреля 2007 года
aks
2.5K / / 14.07.2006
Цитата: alekciy

Кроме того... ты же не паришься, когда управляешь своим хостом через ftp-клиент?


А что кто то до сих пор пользуется обычным ftp протоколом для доступа к рабочему серверу? Ужос ))
У нас бы за такое наверно руки отрывали )

12
23 апреля 2007 года
alekciy
3.0K / / 13.12.2005
Цитата: aks
А что кто то до сих пор пользуется обычным ftp протоколом для доступа к рабочему серверу? Ужос ))
У нас бы за такое наверно руки отрывали )


"...представьте себе, представьте себе" (с) :D
Ну и потом это же не для администрирования под root-ом. Это доступ к хосту.
А что, бывает и по другому? )))) я только по ftp и встречал пока. Хотя есть веб морда с SSL, но там то через скрипты которые при загрузки больших файлов вылетают в таймаут :D .

239
23 апреля 2007 года
Dolonet
1.7K / / 20.05.2000
Цитата: alekciy
...Хотя есть веб морда с SSL, но там то через скрипты которые при загрузки больших файлов вылетают в таймаут :D .


Видно, скрипты криво написаны ;) Perl может закачивать файлы любых размеров на сервер, как это ни забавно звучало бы.
[quote=Rine]Я сейчас только изучаю php, и особо мощно использовать функции и прелести языка не умею...
Надо попробовать сделать через cookies...[/quote]
Другого вариантка кроме куков и нет, если игнор по IP не подходит.

239
23 апреля 2007 года
Dolonet
1.7K / / 20.05.2000
Цитата: Rine
...И еще как можно проверить существование пришедших данных? То есть вот я отправил данные 3 из 5 флажков... На скрипте куда они поступили идет цикл где смотрятся все 5... Скрипт так то работает, только пишет, только те 2 флажка, которые не были выделены, и не пошли в файле куда они должны были поступить выдают ошибку...Как сделать проверку их существования? Замудрил да?


Непонятно, о каких файлах и флажках вообще идет речь? Приведите исходные коды, в которых указана форма и потом цикл проверки "флажков", пожалуйста. и обозначьте четче в чем проблема и что требуется получить на выходе.

240
23 апреля 2007 года
aks
2.5K / / 14.07.2006
Цитата: alekciy
"...представьте себе, представьте себе" (с) :D
Ну и потом это же не для администрирования под root-ом. Это доступ к хосту.
А что, бывает и по другому? )))) я только по ftp и встречал пока.


Ну не вижу никокой причины почему бы вашим хостерам не предоставлять sftp доступ. Сомневаюсь, что у них отсутствует ssh сервер.

7.4K
23 апреля 2007 года
Rine
85 / / 31.10.2006
Цитата: Dolonet
Непонятно, о каких файлах и флажках вообще идет речь? Приведите исходные коды, в которых указана форма и потом цикл проверки "флажков", пожалуйста. и обозначьте четче в чем проблема и что требуется получить на выходе.


Хорошо... Скину исходный код чуть позже...
А вообще я просто хотел узнать функции, которые проверяют пришол ли $_GET или $_POST запрос...

239
23 апреля 2007 года
Dolonet
1.7K / / 20.05.2000
Все очень просто - проверяете на справедливость выражения
 
Код:
count($_POST)
7.4K
23 апреля 2007 года
Rine
85 / / 31.10.2006
Dolonet Спасибо за помощь...
Реклама на сайте | Обмен ссылками | Ссылки | Экспорт (RSS) | Контакты
Добавить статью | Добавить исходник | Добавить хостинг-провайдера | Добавить сайт в каталог