zabezpieczenie pliku ini Opcje

[morawcik89]

Tworzę stronkę na której ma być tylko jeden user (admin) i kilka podstron więc baza nie będzie mi potrzebna. Admin będzie miał możliwość edytowania poszczególnych podstron z poziomu panela administracyjnego. Pomyślałem, żeby kilka opcji konfiguracyjnych umieścić w pliku ini. Tu niestety jest problem. Plik ten można odczytać z pomocą przeglądarki. Jak w takim razie zabezpieczyć ten plik przed nieodpowiednimi osobami? Wyłączenie odczytu spowoduje (jeśli się nie mylę) , że php również go nie odczyta.

[wlamywacz]

Odpowiednia reguła w htaccess

[mdx]

Najlepiej przenieś plik z danymi poniżej katalogu dostępnego przez www, jeśli nie da rady, możesz w .htaccess

Kod

<Files ~ "\.ini$">
    Order allow,deny
    Deny from all
</Files>

Pisze z pamięci, ale powinno zadziałać.

Ten post edytował mdx 9.10.2008, 21:01:19

[nexis]

A co stoi na przeszkodzie, żeby miał rozszerzenie .php? Sam sobie sprawiasz problemy.

[drPayton]

A co stoi na przeszkodzie, żeby miał rozszerzenie .php? Sam sobie sprawiasz problemy.

Dokładnie. Rozszerzenie to jedno a zawartość to drugie. Nic nie stoi na przeszkodzie, aby plik o "budowie ini" miał rozszerzenie php. Wtedy robisz tak:

Kod

; <?php die('Direct file access is not allowed!'); ?>

--------------------------------------------------------------------------------------------------------
; Automatically loaded libraries
; NOTE:
; If you enable database, remember to specify database connection configs in system.config.php
--------------------------------------------------------------------------------------------------------
[autoload_libraries]
database = 1

(...)

I masz bezpieczne ini parsowane standardową funkcją php'ową Jeśli ktoś spróbuje wykonać ten skrypt - dostanie średnik (niestety...) i komunikat w die()

Ten post edytował drPayton 9.10.2008, 21:53:40