Napisany przez: Smoker 1.05.2020, 12:09:29
Hej,
Mam pytanie o kwestie bezpieczeństwa rozwiązania które przyszło mi do głowy. Sytuacja jest następująca, na serwerze linuxowym z zainstalowanym apache, php itp postawiony jest serwis www. Przez wzgląd na ustawienia apache cały publicznie dostępny content znajduje się w folderze private_html (domena z certyfikatem ssl). Cały niedostępny publicznie content jak skrypty backendowe znajduje się w folderze o nazwie Inne na tym samym poziomie co private_html
Struktura folderów:
Kod
domains
--strona.pl
----private_html
------index.php
------style.css
----Inne
------config.json
W pliku config.json przechowuję dane do których nikt oprócz skryptów nie powinien mieć dostępu, np nazwę użytkownika i hasło do bazy danych. Do tej pory takie dane przechowywałem w plikach .php gdzie nikt nie miał dostępu, zastanawiam się więc, czy przechowywanie tego w formacie zwykłym tekstowym .json ale w miejscu gdzie nikt teoretycznie nie ma dostępu jest bezpieczne czy jednak jest jakiś sposób na dostanie tych danych?
Na localhoście gdzie wszystko jest możliwe, wstrzyknięcie w html z poziomu przeglądarki kodu:
Kod
<iframe src="../../Inne/config.json"></iframe>
Powoduje wyświetlenie zawartości tego pliku, ale to tylko localhost więc do każdego folderu jest tutaj pełny dostęp. Na domenie zewnętrznej taki iframe już nie działa, ale może są inne sposoby, np javscriptem jakoś?