Funkcje w osobnym pliku php + include, Pytanie jak zabezpieczyć plik przed obcym include Opcje

[patrix007]

Sprawa wygląda tak, mam plik func.php a w nim funkcje, do których odwołuję się z innych plików php (za pomocą include) w ramach jednego projektu.
Chodzi mi o to czy można w jakiś sposób zabezpieczyć plik func.php przed próbami hackingu - chodzi mianowicie o to aby ktoś obcy nie mógł go includować do swoich niszczących skryptów poza moim projektem/domeną np. w formie

[PHP] pobierz, plaintext 
include('http://www.adres.domena/katalog/func.php');
[PHP] pobierz, plaintext 

i testować funkcji, wszak jest chyba możliwe poznanie przez obcą osobę nazwy/adresu pliku z funkcjami jak i nazw samych funkcji, czy też samych parametrów ? Ta możliwość wykracza ciut poza moją wyobraźnię o metodach na takie sprawy dlatego się pytam.

90% moich funkcji do działania potrzebuje na raz identyfikatora, identyfikatora sesji a także w koniecznych przypadkach dodatkowego hasha lub hasła dostępu, są zabezpieczone przed sql injection etc. nawet po wpisaniu błędnych danych nic się nie sypie więc ciężko wyczaić co i jak lecz nie wszystkie funkcje mam tak pozabezpieczane (np. bez id sesji bo w pewnym momencie id sesji nie jest potrzebny) bo nie ma potrzeby/nie jest wymagane ale mimo to nie chciałbym aby mi ktoś coś próbował szperać nawet jakby miał dostać w wyniku nic nieznaczący ochłap.

Może jakaś sztuczka w samym pliku z funkcjami ?

Dzięki za wskazówki (IMG:style_emoticons/default/smile.gif)

Ten post edytował patrix007 16.08.2010, 00:29:54

[kilab]

PHP jest parsowany po stronie serwera. Jeśli plik nie zwraca żadnej treści, po uruchomieniu go pojawi się tylko biała strona. Zresztą funkcja include dołącza tylko pliki lokalne. Jeśli zależy Ci na kosmicznym bezpieczeństwie możesz wziąć całą zawartość pliku w warunek i sprawdzić, czy referer pochodzi z domeny, czy lokalnie i dopuścić do funkcji. W przeciwnym razie odmówić dostęp. Powinno działać (IMG:style_emoticons/default/tongue.gif)

Ten post edytował kilab 16.08.2010, 01:10:03

[CuteOne]

Troszkę nie na temat ale może Ci się przydać. Zabezpieczenie przeciwko 'oglądaniu' pliku poprzez bezpośrednie jego wywołanie np. www.moja_strona.pl/inlcude/func.php

w pliku, który includuje pozostałe skrypty (np w index.php) wstaw:

[PHP] pobierz, plaintext 
define('moja_strona',true);
[PHP] pobierz, plaintext 

w każdym pliku, który jest includowany wstaw:

[PHP] pobierz, plaintext 
if(!defined('moja_strona) || !moja_strona) die('Include error...');
[PHP] pobierz, plaintext 

Proste i skuteczne (IMG:style_emoticons/default/smile.gif)

Ten post edytował CuteOne 16.08.2010, 07:14:52

[thek]

Poza tym zawsze jest jeszcze htaccess i deny (IMG:style_emoticons/default/winksmiley.jpg)

[patrix007]

Dzięki za pomysły (IMG:style_emoticons/default/yahoo.gif)