Witam.
Zastanawiam się nad przechowywaniem konfiguracji strony w plikach tekstowych.
Było by to ( z mojego punktu widzenia ) bardzo wydajne i wygodne rozwiązanie.
Pozostaje pytanie czy bezpieczne.
Wiem że można zablokować dostęp do danego pliku / katalogu z poziomu htaccess.
Na ile by to zapewniło ochronę, przed podejrzeniem zawartości pliku i co powinienem dodać do htaccess żeby uzyskać taki efekt ? Pozostaje jeszcze kwestia wykrywania ustawień serwera.
Jak można sprawdzić czy w pliku httpd.conf jest ustawione AllowOverride na zezwalanie używania pliku htaccess.
Pełna wersja: Pliki nie parsowane przez interpreter.
najprościej dodać do .htaccess żeby pliki tekstowe interpretowało jako php, albo zwyczajnie zmienić im rozszerzenie z txt (lub innego) na php 
Kod
<Directory /pliki>
Order Deny,Allow
Deny from all
Allow from 127.0.0.1
</Directory>
Order Deny,Allow
Deny from all
Allow from 127.0.0.1
</Directory>
Super dzięki o to chodziło:
edit>
no i guzik nie działa.
Dałem:
<Directory D:\WWW\strona\includes>
Order Allow,Deny
Allow from 127.0.0.1
Deny from all
</Directory>
Zmieniałem D:\WWW\strona\includes na /includes i ./includes zmieniałem również kolejność dyrektyw a on mi nadal blokuje dostęp do całości ...
Kod
Internal Server Error
The server encountered an internal error or misconfiguration and was unable to complete your request.
Please contact the server administrator, admin@domejn.com and inform them of the time the error occurred, and anything you might have done that may have caused the error.
More information about this error may be available in the server error log.
Masz może adres strony z opisem dyrektyw konfiguracyjnych htaccess ? Bo jeszcze chciałbym zrobić parę rzeczy na przykład żeby automatycznie przekierowywało na określony adres kiedy ktoś próbuje wejść do katalogu zastrzeżonego.The server encountered an internal error or misconfiguration and was unable to complete your request.
Please contact the server administrator, admin@domejn.com and inform them of the time the error occurred, and anything you might have done that may have caused the error.
More information about this error may be available in the server error log.
edit>
no i guzik nie działa.
Dałem:
<Directory D:\WWW\strona\includes>
Order Allow,Deny
Allow from 127.0.0.1
Deny from all
</Directory>
Zmieniałem D:\WWW\strona\includes na /includes i ./includes zmieniałem również kolejność dyrektyw a on mi nadal blokuje dostęp do całości ...
Kod
Order Allow,Deny
Allow from 127.0.0.1 // najpierw dopuszczasz adres 127.0.0.1
Deny from all // a następnie blokujesz dostęp wszystkim gościom
Allow from 127.0.0.1 // najpierw dopuszczasz adres 127.0.0.1
Deny from all // a następnie blokujesz dostęp wszystkim gościom
Daj tak:
Kod
Order Allow,Deny
Deny from all
Allow from 127.0.0.1
Deny from all
Allow from 127.0.0.1
Ja chyba źle wpisuję katalog który ma zostać poddany konfiguracji.
Mógłby ktoś mi napisać jakiś przykład ?
Najlepiej z podaną ścieżką wzgledną i bezwzgledną.
Mógłby ktoś mi napisać jakiś przykład ?
Najlepiej z podaną ścieżką wzgledną i bezwzgledną.
Najlepiej w pliku htaccess (pamiętaj ze ustawienia będą także działały dla podkatalogów)
A jeśli już chcesz w httpd.conf to:
Kod
Order Allow,Deny
Deny from all
Allow from 127.0.0.1
Deny from all
Allow from 127.0.0.1
A jeśli już chcesz w httpd.conf to:
Kod
<Directory "/home/user/htdocs/"> // linux
</Directory>
<Directory "C:/htdocs"> //windows
</Directory>
</Directory>
<Directory "C:/htdocs"> //windows
</Directory>
A względem aktualnego katalogu ?
Cytat(orglee @ 9.06.2007, 03:18:17 ) 
A względem aktualnego katalogu ?
Nie rozumiem o co Ci chodzi
Chłopaki, takie coś nie ma sensu - albo zablokujecie dostęp do katalogu, ale i tak będzie można podejrzeć jego treść poprzez bezpośredni link, który i tak kiedyś ktoś znajdzie, albo zablokujecie dostęp do pliku poprzez hasło z poziomu panelu admina bądz htaccess, co jest jeszcze dziwaczniejszym rozwiązaniem, gdyż przy każdym wejściu na stronę - katalog będzie prosił o hasło.
(Nie jestem do końca tego pewny, ale na 80% tak będzie ;-))
@topic:
Moim zdaniem pomiędzy zwykłymi rozszezeniami nie można rozważać kwestii wydajności. Oczywiście, serwer musi sparsować kod PHP, lecz przy normalnym, powtarzam normalnym hostingu, (nie takim za 5 zł/rok:P) powinien serwer nawet nie zauważyć tego pliku względem wydajności. Zmień te *.txt na *.php, bo możesz:
- ukryć kod
- zahashować go w md5
- spać spokojnie ;-)
Pozdrawiam,
Matix
(Nie jestem do końca tego pewny, ale na 80% tak będzie ;-))
@topic:
Moim zdaniem pomiędzy zwykłymi rozszezeniami nie można rozważać kwestii wydajności. Oczywiście, serwer musi sparsować kod PHP, lecz przy normalnym, powtarzam normalnym hostingu, (nie takim za 5 zł/rok:P) powinien serwer nawet nie zauważyć tego pliku względem wydajności. Zmień te *.txt na *.php, bo możesz:
- ukryć kod
- zahashować go w md5
- spać spokojnie ;-)
Pozdrawiam,
Matix
~matix jest sens, ponieważ gdy zablokujesz dostęp np. do katalogu templates, wchodząc na na serwer przez http://serwer.pl/templates/ nie otrzymasz dostępu, ale jeśli uruchomisz skrypt (index.php) to zobaczysz te obrazki na stronie.
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.