Защита конфигурационного файла
Как можно закрыть к нему доступ из родительских директорий того же сервера? Например, если файл располагается в дирректории big_mama/, то его либо нельзя инклудить с родительских директорий, либо реквизиты не будут прописываться из-за невыполнения какого-то условия.
Только, пожалуйста, не предлагайте в config.php добавить проверку аля
с добавкой этой переменной в начале вызываемого скрипта.
И в целом, как вы защищаете конфигурационные файлы?
Если сервер поломали настолько, чтобы читать произвольные файлы, тут помочь могут только права доступа.
Интересно, как при этом у вас работает веб сервер то...
По сабжу ни как не защищаю. При просмотре в браузере такой файл в выходной поток все равно ни чего не отдаст.
Если сервер поломали настолько, чтобы читать произвольные файлы, тут помочь могут только права доступа.
Спасибо! Как-то не подумал :)
Значит у меня уже паранойя)) хотя ситуация не стандартная ><
Вот только, если сервер упадет - файл можно будет скачать.
Вот только, если сервер упадет - файл можно будет скачать.
Отсюда немного поподробнее.
Прятанье конфигов, как правило, это глупость. По крайне мере в том контексте в котором я тут вижу.
Хинт на подумать: апач ни когда не отдает .ht файлы наружу ;)
Еще раз повторяю. Опиши для начала хотя бы словами, как ты скачаешь этот файл без авторизации если у тебя веб сервер упал?
Хинт: При падении веб сервера интерпретатор не запускается. Падает бэкэнд, на фронтенде имеем таймаут или 500-ые ошибки.
Запятую пропустил, чего не понятно то? :D
Падает бэкэнд зпт на фронтенде имеем таймаут или 500-ые ошибки.
Ну вынеси файл конфига за пределы www директории. А вообще если веб-сервер упал то ничего скачать не удастся (как скачать-то если сервер лежит?)
Ааа ну зачем подсказывать, быть может человек бы предложил какой то супур-пупер новый метод взлома))