[PHP] Zabezpieczenie skryptu Opcje

[wicek]

Witam, chciałem się was zapytać o 4 sprawy:

1) W jaki sposób zabezpieczyć pliki żeby użytkownik nie mógł się do nich dostać ? np wpisując strona.pl/templates/raport.php?

2) W jaki sposób mogę zablokować aby zamiast warningów lub error wyskakiwała strona o błędzie, a błąd zapisywał się do pliku ?

3) Wybór controlera i akcję przesyłam przez $_GET, do tego dojdzie czasami id jakiegoś przedmiotu. Na poziomie funkcji i php sprawdzam czy dane id należy do użytkownika czy ma on prawa do np. usuwania.
Czy dodatkowo powinienem w jakiś sposób kodować cały adres?

4) W kontrolerze przy każdej akcji sprawdzam nazwę użytkownika czy jest zalogowany i ma odpowiednie uprawnienia do wykonania czynności. Czy muszę obawiać się innych miejsc w modelu mvc ?

Trochę czytałem różnych tutoriali ale one są albo z przed 10 lat albo ja nie rozumiem za dużo.
Ogólnie jest to mój 1 projekt robiony dla siebie który chcę wypuścić po za lokalną sieć

Z góry dziękuję za podpowiedzi.

Pozdrawiam
Wicek

Ten post edytował wicek 20.04.2017, 10:53:02

[kayman]

1) np zabezpieczenie folderów htaccess lub struktura folderów -> zobacz jak jest to robione w frameworkach (gdzie jest folder public)
2) wykonać/dodać jakiś system/klasę obsługującą exception
3) nie chyba że dla tzw ładnych url
4) jeżeli dziala to na zasadzie kontroler->sprawdzenie_uprawnienien to nie, wystarczy odpowiedni komunikat/przekierowanie

[Rysh]

Najlepiej zainteresuj się jakimś frameworkiem, gdzie możesz sobie wydzielić akcje dla gościa, zalogowanego, moderatora, administratora itd.