ciao a tutti, vi vorrei chiedere una cosa
testando la sicurezza delle mie pagine, ho notato che in alcune di esse, se le richiamo con fileread() mi viene stampato il codice sulla pagina del browser, ho pensato ad usare un cotrollo su url per stabilire che funzionino solo su se stesse, ma purtroppo non in tutte lo posso fare perche spesso l'url e dinamico, qualcuno mi puo dare una mano?
ps: se avete consigli sulla sicurezza sono tutti ben accetti ^_^
grazie in anticipo
Non ho capito bene il problema, fileread lo puoi usare solo tu da script, non lo possono richiamare gli utenti, quindi non è un problema, fai un esempio concreto così capiamo meglio.
Il calcolatore è straordinariamente veloce, accurato e stupido.
L'uomo è incredibilmente lento, impreciso e creativo.
L'insieme dei due costituisce una forza incalcolabile.
(Albert Einstein)
allora facciamo che ho un file che sta in $_SERVER['document_root'].'/cartella/file.php';
questo file contiene il richiamo alla connessione al db cotrollo cookie ecc x la gestione dell'utente che la sta richiamando assegnandoli i permessi vari, e funziona tutto perfettamente... solo che richiamando il file tramite readfile() mi printa la parte del codice php delle pagine che richiamo al suo interno (cioe come dicevo sopra le classi per la connessione al db e controlli di base); la mia paura e che se qualcuno riuscisse a lanciare un readfile() su di esso mi potrebbe fregare il mio codice e manipolarlo come vuole rubandomi i dati dal database.....ho pensato ad inserire un get ma non lo posso fare per una questione estetica , ed anche perche su readfile() cmq basterebbe aggiungere il get a fine stringa, ho provato con htaccess ma il risultato e sempre lo stesso....
Tranquillo, questo non può avvenire, nessuno può lanciare readfile() dal bowser, per farlo devono entrare nel tuo spazio ftp e mettere un file .php da richiamare .... ma è ovvio che se hanno le password dell'ftp non se ne fanno nulla di fare un operazione del genere perchè a quel punto ti prendono tutti i file che vogliono e se li leggono tranquillamente.
Edit: se il sito è in hosting condiviso, ovviamente non dare il permesso 777 a quel file altrimenti chi ha un altro spazio su quella stessa macchina potrebbe visualizzarlo, mentre se il server è tutto tuo non dovresti avere di questi problemi.
Ultima modifica di las; 29-10-2013 a 11:07
Il calcolatore è straordinariamente veloce, accurato e stupido.
L'uomo è incredibilmente lento, impreciso e creativo.
L'insieme dei due costituisce una forza incalcolabile.
(Albert Einstein)
la mia paura era proprio questa... sto cercando di creare un sistema che "garantisca la sicurezza" cmq grazie mille ^_^
Permessi di invio
Rispondi quotando