include percorso assoluto

[ethan_h76]

Ciao a tutti.
Ho creato un applicazione distribuita multiutente (agli utenti vengono consegnati alcuni file che devono copiarsi sui loro hosting) collegata ad un db.
La connessione al database avviene tramite un file php che per sicurezza voglio mantenere su un server esterno di mia proprietà e che viene incluso nei file distribuiti agli utenti tramite un semplice include.

Sono riuscito a far funzionare l'include (abilitando nel php.ini allow url fopen e allow url include e disabilitando il php perchè il codice non venga eseguito), ma se provo ad accedere al file tramite browser ne visualizzo il contenuto (utente db e password).

E' possibile disabilitare l'accesso diretto ad alcuni file che tuttavia non comprometta gli include?

Grazie per le risposte.

[Samleo]

Cioè tu vuoi vietare che gli utenti vedano il contenuto dei file che devono mettere sui loro hosting?

[ethan_h76]

Non potendo editare il mio messaggio ne aggiungo un altro per completare il post.

Ho usato .htaccess così configurato:
<Files ~ ".+">
Order allow,deny
Deny from all
Satisfy All
</Files>

Effettivamente mi blocca l'accesso diretto tramite url, ma anche l'include con il percorso assoluto.


Non so che fare..........

[bubi1]

Non puoi.

Potresti pero' fare delle restrizioni in base agli ip.

[ethan_h76]

Originariamente inviato da Samleo
Cioè tu vuoi vietare che gli utenti vedano il contenuto dei file che devono mettere sui loro hosting?

I file che passo agli utenti contengono una stringa del tipo:

Codice PHP:

include ('http://www.sitoesempio.it/Connections/connessione.php'); 


che mi serve per richiamare la connessione al db.

Il file connessione.php è fatto all'incirca così:

Codice PHP:

$hostname_sito = 'localhost';
$database_sito = 'pincopalla'; 
$username_sito = 'pinco'; 
$password_sito = 'palla'; 


Se l'utente apre uno dei file che gli passo legge il percorso del file connessione.php e tramite url ne può leggere il contenuto, cosa che non voglio avvenga.

[ethan_h76]

Originariamente inviato da bubi1
Non puoi.

Potresti pero' fare delle restrizioni in base agli ip.

In che modo?

PS. e poi se l'utente decide di spostare i file che gli ho passato su un altro dominio con ip diverso?

[bubi1]

Originariamente inviato da ethan_h76
In che modo?

PS. e poi se l'utente decide di spostare i file che gli ho passato su un altro dominio con ip diverso?

Come non detto, pensavo che solo le persone terze non devono poter leggere il file, mentre i tuoi utenti che lo includevano si. Ma se ho capito bene, vuoi che loro lo possano includere ma non vedere. Non e' possibile.

[ethan_h76]

Originariamente inviato da bubi1
Come non detto, pensavo che solo le persone terze non devono poter leggere il file, mentre i tuoi utenti che lo includevano si. Ma se ho capito bene, vuoi che loro lo possano includere ma non vedere. Non e' possibile.

e altre soluzioni tipo passargli anche il file connessione.php ma cifrato??
Poichè di cifratura non ne so nulla, scusate se ho appena scritto una stupidaggine.

[bubi1]

Beh, indipendentemente dal metodo di crittografia, se il tuo php lo cifra, il suo php lo deve poter decifrare per includerlo. Di conseguenza, anche lui lo potra' leggere.

[bubi1]

pero' potresti utilizzare un encoder, tipo ioncube, zend o altro. Il file potra essere incluso, e sara' funzionante, ma il corpo sara' codificato. Ma in questo caso, ogni utente che deve includere lo script deve avere installate anche le librerie del encoder che utilizzerai.