Как защитит свой самописный движок с помощью htaccess

От: Из: PHP

primitiv

Приветствую всех, я новичок и прошу помощи в разъяснении очень важного вопроса, я закончил работу над сайтом, написал cms c нуля, всё работает замечательно, так же я уверен что написал его капец как криво, и из за этого и думаю поставить дополнительный барьер, а именно хочу понят какие меры защиты можно принять с помощью файла htaccess, буду благодарен за стоящие ссылки и простые ответы

 

Drunkenmunky

Как вы себе это представляете?
Потенциальную опасность несут любые данные получаемые извне — содержимое глобальных массивов.
Тут всё — и текст, и адресная строка, и файлы куки, даже юзер-агент и имена загружаемых файлов с расширением.
Точнее то, как вы их используете.
Если в запросах к базе данных, это одно.
Если для считывания локальных папок и файлов — другое.
Для вывода на страницу третье. И т.д.
Если в процессе написания своей cms вы не озаботились правильной обработкой этих данных, в зависимости от применения, то работа у вас только началась.

 

miketomlin

В каком смысле защитить?

P.S. Новичок не в состоянии написать вменяемый код, в том числе и в плане защиты. Развивайтесь и совершенствуйте свой код. А про .htaccess забудьте (почти) ;)
— Добавлено —

Это тоже? :eek:

PHP:
  1. $sth = $pdo->prepare(«SELECT * FROM ‘:tabl’ WHERE ‘:title'»);

Источник: https://php.ru/forum/posts/639472/

 

ADSoft

наверное чувак хочет дополнительно запаролить доступ к папке/ файлу админки, что типа такого

Код (Text):
  1. <Files admin.php>
  2. AuthName «enter password»
  3. AuthType Basic
  4. AuthUserFile /home/yousite.ru/.htpasswd
  5. require valid-user
  6. </Files>                      

ну и найди в интернете сам — как сгенерить этот файл .htpasswd

 

mkramer

Барьер от чего? Какие возможности у движка? К примеру, если пользователи могут загружать что-то на сайт, есть смысл запретить запуск php из этих папок, если не стоит дополнительная проверка при загрузке, что пришло именно то, что ожидалось, по формату. Фактически, даже не знаю, что ещё можно через этот файл.

 

MouseZver

а смысл допускать файлы на загрузку с подобным расширением ? Белый список с допуском для начала

 

ADSoft

ну можно и как jpg php файл загрузить

 

miketomlin

@ADSoft, если запретить выполнение в папке, он по-любому не запустится.
— Добавлено —
P.S. Если фронт вне корня, можно во всем корне запретить выполнение.
— Добавлено —

Это все костыли для тех, кто юзает дырявый софт. Нафига ему это, если он сам типа разраб? :)

 

primitiv

Вот про всё это я бы с интересом прочитал бы, посоветуйте какую нибудь книгу или ресурс, я был бы благодарен, касаемо моего сайта, это магазин, конструкция из 5 php скриптов, пользователь ни чего не загружает, если только данные формы, почти везде использовал pdo и подготовленные запросы, только в одном месте закосячил и пришлось использовать mysqli (спасибо вам Drunkenmunky, реально помогли) но и там я намерен использовать регулярку для проверки соответствия данных в переменной (сейчас изучаю), мне всего лишь нужно понять на что способен htaccess, в настройках серверов не силён, собственно говоря я php месяца два как начал интенсивно изучать

 

Drunkenmunky

MouseZver

Миф — запустить jpg изображение как php скрипт. Это невозможно будет.

PHP:
  1. pathinfo ( $filename, PATHINFO_EXTENSION )
 

Вероломство

не считал, сколько у тебя времени уходит на сон и расстановку БЕСПЛАТНЫХ пробелов в коде? :)

 

primitiv

Как это сделать?

А вот это я не понял, вы имеете ввиду какой то контролирующий php скрипт?, типа чтобы с его одобрения запускались другие скрипты?

 

MouseZver

аргументируй

 

Вероломство

что аргументировать? твои понты типа хер Вы запустите мой код обычным копипастом? детский сад :)

я представил твое довольное лицо, когда ты добавляешь пробел, поробуй по буквам бить код пробелами, так круче

 

MouseZver

чего ?? o_O Вангу с собой возьми, может она лучше тебя сможет аргументировать. Ты че бухой ? код пробелами… лол

 

primitiv

Место этой бессмыслицы что вы пишите, лучше наставьте меня на путь истинный, не тратте просто так свою энергию господа джедаи

 

miketomlin

Чтобы наставлять, нужно понимать, что у тебя не так ;) Но т.к. тебе это не интересно, каждый резвится в силу своих способностей :)

 

primitiv

Ещё как интересно, вы так и не дали ответ на вопрос — на что способен htaccess, в интернете статьей хватает, но интересно от вас программистов услышать что реально важно, может вдруг кто ссылку какуюнит толковую скинет

 

mkramer

Тут большинство уже апачем не пользуются, так что не пользуют и htaccess. Мы иногда ставим апач, и у меня в htaccess просто рерайт для фреймворка )

 

Похожие записи:

  1. Как и куда добавить условие IF в моем коде?
  2. Реализация нравится / не нравится
  3. Тротлинг видеокарты asus zephirus s17 gx701lxs
  4. Счетчик просмотров постов php+mysql
  5. Как добавить функцию удаления найденного текста в строке?

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *