primitiv
Приветствую всех, я новичок и прошу помощи в разъяснении очень важного вопроса, я закончил работу над сайтом, написал cms c нуля, всё работает замечательно, так же я уверен что написал его капец как криво, и из за этого и думаю поставить дополнительный барьер, а именно хочу понят какие меры защиты можно принять с помощью файла htaccess, буду благодарен за стоящие ссылки и простые ответы
Drunkenmunky
Как вы себе это представляете?
Потенциальную опасность несут любые данные получаемые извне — содержимое глобальных массивов.
Тут всё — и текст, и адресная строка, и файлы куки, даже юзер-агент и имена загружаемых файлов с расширением.
Точнее то, как вы их используете.
Если в запросах к базе данных, это одно.
Если для считывания локальных папок и файлов — другое.
Для вывода на страницу третье. И т.д.
Если в процессе написания своей cms вы не озаботились правильной обработкой этих данных, в зависимости от применения, то работа у вас только началась.
miketomlin
В каком смысле защитить?
P.S. Новичок не в состоянии написать вменяемый код, в том числе и в плане защиты. Развивайтесь и совершенствуйте свой код. А про .htaccess забудьте (почти)
— Добавлено —Это тоже?
PHP:
$sth = $pdo->prepare(«SELECT * FROM ‘:tabl’ WHERE ‘:title'»);Источник: https://php.ru/forum/posts/639472/
ADSoft
наверное чувак хочет дополнительно запаролить доступ к папке/ файлу админки, что типа такого
Код (Text):
<Files admin.php> AuthName «enter password» AuthType Basic AuthUserFile /home/yousite.ru/.htpasswd require valid-user </Files>ну и найди в интернете сам — как сгенерить этот файл .htpasswd
mkramer
Барьер от чего? Какие возможности у движка? К примеру, если пользователи могут загружать что-то на сайт, есть смысл запретить запуск php из этих папок, если не стоит дополнительная проверка при загрузке, что пришло именно то, что ожидалось, по формату. Фактически, даже не знаю, что ещё можно через этот файл.
MouseZver
а смысл допускать файлы на загрузку с подобным расширением ? Белый список с допуском для начала
ADSoft
ну можно и как jpg php файл загрузить
miketomlin
@ADSoft, если запретить выполнение в папке, он по-любому не запустится.
— Добавлено —
P.S. Если фронт вне корня, можно во всем корне запретить выполнение.
— Добавлено —Это все костыли для тех, кто юзает дырявый софт. Нафига ему это, если он сам типа разраб?
primitiv
Вот про всё это я бы с интересом прочитал бы, посоветуйте какую нибудь книгу или ресурс, я был бы благодарен, касаемо моего сайта, это магазин, конструкция из 5 php скриптов, пользователь ни чего не загружает, если только данные формы, почти везде использовал pdo и подготовленные запросы, только в одном месте закосячил и пришлось использовать mysqli (спасибо вам Drunkenmunky, реально помогли) но и там я намерен использовать регулярку для проверки соответствия данных в переменной (сейчас изучаю), мне всего лишь нужно понять на что способен htaccess, в настройках серверов не силён, собственно говоря я php месяца два как начал интенсивно изучать
Drunkenmunky
Вот например ресурс:
https://www.php.net/manual/ru/security.database.sql-injection.php
Книгу?
https://dmkpress.com/catalog/computer/securuty/978-5-97060-617-9/
Сам не читал, но название многообещающее.
MouseZver
Миф — запустить jpg изображение как php скрипт. Это невозможно будет.
PHP:
Вероломство
не считал, сколько у тебя времени уходит на сон и расстановку БЕСПЛАТНЫХ пробелов в коде?
primitiv
Как это сделать?
А вот это я не понял, вы имеете ввиду какой то контролирующий php скрипт?, типа чтобы с его одобрения запускались другие скрипты?
MouseZver
аргументируй
Вероломство
что аргументировать? твои понты типа хер Вы запустите мой код обычным копипастом? детский сад
я представил твое довольное лицо, когда ты добавляешь пробел, поробуй по буквам бить код пробелами, так круче
MouseZver
чего ?? Вангу с собой возьми, может она лучше тебя сможет аргументировать. Ты че бухой ? код пробелами… лол
primitiv
Место этой бессмыслицы что вы пишите, лучше наставьте меня на путь истинный, не тратте просто так свою энергию господа джедаи
miketomlin
Чтобы наставлять, нужно понимать, что у тебя не так Но т.к. тебе это не интересно, каждый резвится в силу своих способностей
primitiv
Ещё как интересно, вы так и не дали ответ на вопрос — на что способен htaccess, в интернете статьей хватает, но интересно от вас программистов услышать что реально важно, может вдруг кто ссылку какуюнит толковую скинет
mkramer
Тут большинство уже апачем не пользуются, так что не пользуют и htaccess. Мы иногда ставим апач, и у меня в htaccess просто рерайт для фреймворка )