Supponiamo di avere una pagina
index.php
che include al suo interno una pagina chiamata:
prova.inc
Che permessi deve avere la pagina prova.inc ?
Io ho provato a togliere il permesso di lettura al pubblico e la pagina non viene vista.
Se abilito il permesso di lettura al pubblico, la pagina viene vista ma il potenziale hacker puo' scrivere:
www.ilmiosito.it/prova.inc e in questo caso riesce a scaricarsi in locale il file.
Cosa sbaglio ?
ovviamente prova.inc potrebbe contenere dei dati riservati
Rinomina PROVA.INC in PROVA.INC.PHP
Dovrebbe risolverti il problema.
Metti il file prova.inc all'interno di una cartella con un file .htaccess con scrittoOriginariamente inviato da alspam
Se abilito il permesso di lettura al pubblico, la pagina viene vista ma il potenziale hacker puo' scrivere:
www.ilmiosito.it/prova.inc e in questo caso riesce a scaricarsi in locale il file.
Cosa sbaglio ?
così darà un forbidden a chiunque (ma non al php, che portà leggerla).codice:Order allow,deny Deny from All
Se il file contiene delle variabili, il php non le stamperà.. non importa che l'hacker arrivi al prova.inc!
Importante è si che lo rinomini in .php, oppure il server lo passa così com'è!!!VVoVe:
Se fai un utente per il php (o se è un modulo dovrebbe essere l'utente apache), basta che dai permessi di lettura a quello, tutto il resto non serve.
correggetemi, se sbaglio: non sono sicuro dell'ultima parte.
Main: Asus P5KR | Intel Q6600 G0 @ 3.6GHz | Kingston 2x1GB DDR-II @ 800MHz | POV GeForce 8800GT 512MB | Seagate Barracuda 7200.11 32MB 2x500GB RAID0 | Enermax Chakra 3052BS | Enermax Liberty 500W | Zerotherm Nirvana NV120 Premium || eee PC || Net: Atlantis Land WebShare 340 | Alice 19M/1M || Gentoo Linux | gtk-gnutella rulezz.
Permessi di invio
Rispondi quotando