permessi per i file

[bwr]

Ciao a tutti.

Premetto che ho letto l'articolo "CHmod con PHP" su freephp
Premetto pure che ho la crapa dura

....e vengo alla questione: in una directory ho un file che chiamo tabella.dat che contiene i campi ed i record di un mini database.

Lo script xxx.php che lavora su tabella.dat è "protetto" con la funzione md5(). In teoria, nessun male intenzionato di rango medio/basso può eseguire per intero lo script xxx.php e quindi modificare tabella.dat

Il problema è: come devo settare i permessi di tabella.dat affinchè il file sia leggibile e scrivibile da xxx.php, ma non da script esterni allo spazio web in questione?

Cioè, come posso evitare che un furbacchione mi cancelli o modifichi i dati del mini database?

Accetto calorosamente consigli. Grazie.

[Shores]

A mio avviso, non puoi: l'utente con cui viene eseguito il tuo codice php è lo stesso con cui gli utenti guest si affacciano al web server, quindi non puoi fare questo.

L'unica cosa che puoi fare è mettere tabella.dat in una directory accessibile da php ma inaccessibile da http (per intenderci, fuori da HTTP_ROOT) in modod che se anche si dovesse capire che usi tabella.dat non sarebbe comunque possibile vederla.

Quanto al modificare, se qualcuno è riuscito a guadagnarsi il diritto di modificare file che non sono quelli di dati, vuole dire che ha già accesso al tuo codice php, e allora...

Per capirci, proteggere il codice con MD5 non ha tanto senso, visto che se ho accesso al codice sorgente criptato con MD5 ho anche accesso al codice che lo richiama, e quindi ho li bello pronto come si fa a sproteggerlo...

[bwr]

Grazie per la risposta.


1) devo mettere tabella.dat all'esterno di root/....

2) lo script xxx.php deve essere eseguibile, ma non leggibile....del tipo rwx-x-x può andare così?.....

[Shores]

Direi di si!

[bwr]

La cartellina cgi-bin, esterna alla root va bene?

[Shores]

Direi che è ok, anche se forse non hai diritti in scrittura lì...

[chris]

Non ho capito una cosa: ti preoccupano eventuali script residenti sullo stesso server oppure script remoti?

[bwr]

a) tabella.dat è il contenuto del mini database e quindi desidero che venga modificato solo da xxx.php collocato sotto root e "protetto" con md5().

b) come giustamente mi è stato fatto notare, è da evitare che fonti esterne, script o quanto altro sia possibile, possano agire su tabella.dat.

c) xxx.php devo porlo come rwx-x-x- onde evitare la lettura, modifica e riscrittura dello script con esiti sicuramente poco piacevoli.

Questa è la situazione. Grazie Shores e chris

[chris]

Stai sicuro che via http un file residente sul server non lo modificano, quindi l'unico problema sono gli altri script residenti sul server stesso.

Come ti è stato fatto notare agiscono tutti con lo stesso utente, quindi in questo modo non te la cavi.

Per queste situazioni il php ha l'apposito sistema del "safe mode" che ogni hoster degno di questo nome dovrebbe attivare su un server a disposizione di più account.
Contatta il tuo hoster e chiedi che attivino questa estensione essenziale alla sicurezza.

p.s. ovviamente questa influenzerà solamente gli script php. Se sul server è possibile installare script perl ad esempio non verranno in alcun modo limitati.

[bwr]

Finalmente penso di cominciare ad intuire come stanno le cose.

Via http i file non sono "corruttibili", in quanto il server non permette questo tipo di azione.

Comunque è meglio porre lo script di gestione del mini database come

rwx-x-x

così, comunque, nessuno può leggerne il contenuto.

il file dati tabella.dat è modificabile da me e da qualsiasi altro script php (o perl od asp....) che risieda sul server, dato che io e tutti gli altri utilizzatori del medesimo server, a livello di spazio web, abbiamo gli stessi permessi come user.

Questo mi consola un poco, perchè trovare una persona "simpatica" che vuole creare problemi nella cerchia dei clienti del mio server provider è una cosa abbastanza difficile.

Cosa dite. Ho capito qualcosa dalle vostre gentili risposte?