Приветствую всех, я новичок и прошу помощи в разъяснении очень важного вопроса, я закончил работу над сайтом, написал cms c нуля, всё работает замечательно, так же я уверен что написал его капец как криво, и из за этого и думаю поставить дополнительный барьер, а именно хочу понят какие меры защиты можно принять с помощью файла htaccess, буду благодарен за стоящие ссылки и простые ответы
Как вы себе это представляете? Потенциальную опасность несут любые данные получаемые извне - содержимое глобальных массивов. Тут всё - и текст, и адресная строка, и файлы куки, даже юзер-агент и имена загружаемых файлов с расширением. Точнее то, как вы их используете. Если в запросах к базе данных, это одно. Если для считывания локальных папок и файлов - другое. Для вывода на страницу третье. И т.д. Если в процессе написания своей cms вы не озаботились правильной обработкой этих данных, в зависимости от применения, то работа у вас только началась.
В каком смысле защитить? P.S. Новичок не в состоянии написать вменяемый код, в том числе и в плане защиты. Развивайтесь и совершенствуйте свой код. А про .htaccess забудьте (почти) --- Добавлено --- Это тоже? PHP: $sth = $pdo->prepare("SELECT * FROM ':tabl' WHERE ':title'"); Источник: https://php.ru/forum/posts/639472/
наверное чувак хочет дополнительно запаролить доступ к папке/ файлу админки, что типа такого Код (Text): <Files admin.php> AuthName "enter password" AuthType Basic AuthUserFile /home/yousite.ru/.htpasswd require valid-user </Files> ну и найди в интернете сам - как сгенерить этот файл .htpasswd
Барьер от чего? Какие возможности у движка? К примеру, если пользователи могут загружать что-то на сайт, есть смысл запретить запуск php из этих папок, если не стоит дополнительная проверка при загрузке, что пришло именно то, что ожидалось, по формату. Фактически, даже не знаю, что ещё можно через этот файл.
@ADSoft, если запретить выполнение в папке, он по-любому не запустится. --- Добавлено --- P.S. Если фронт вне корня, можно во всем корне запретить выполнение. --- Добавлено --- Это все костыли для тех, кто юзает дырявый софт. Нафига ему это, если он сам типа разраб?
Вот про всё это я бы с интересом прочитал бы, посоветуйте какую нибудь книгу или ресурс, я был бы благодарен, касаемо моего сайта, это магазин, конструкция из 5 php скриптов, пользователь ни чего не загружает, если только данные формы, почти везде использовал pdo и подготовленные запросы, только в одном месте закосячил и пришлось использовать mysqli (спасибо вам Drunkenmunky, реально помогли) но и там я намерен использовать регулярку для проверки соответствия данных в переменной (сейчас изучаю), мне всего лишь нужно понять на что способен htaccess, в настройках серверов не силён, собственно говоря я php месяца два как начал интенсивно изучать
Вот например ресурс: https://www.php.net/manual/ru/security.database.sql-injection.php Книгу? https://dmkpress.com/catalog/computer/securuty/978-5-97060-617-9/ Сам не читал, но название многообещающее.
Миф - запустить jpg изображение как php скрипт. Это невозможно будет. PHP: pathinfo ( $filename, PATHINFO_EXTENSION )
Как это сделать? А вот это я не понял, вы имеете ввиду какой то контролирующий php скрипт?, типа чтобы с его одобрения запускались другие скрипты?
что аргументировать? твои понты типа хер Вы запустите мой код обычным копипастом? детский сад я представил твое довольное лицо, когда ты добавляешь пробел, поробуй по буквам бить код пробелами, так круче
чего ?? Вангу с собой возьми, может она лучше тебя сможет аргументировать. Ты че бухой ? код пробелами... лол
Место этой бессмыслицы что вы пишите, лучше наставьте меня на путь истинный, не тратте просто так свою энергию господа джедаи
Чтобы наставлять, нужно понимать, что у тебя не так Но т.к. тебе это не интересно, каждый резвится в силу своих способностей
Ещё как интересно, вы так и не дали ответ на вопрос - на что способен htaccess, в интернете статьей хватает, но интересно от вас программистов услышать что реально важно, может вдруг кто ссылку какуюнит толковую скинет
Тут большинство уже апачем не пользуются, так что не пользуют и htaccess. Мы иногда ставим апач, и у меня в htaccess просто рерайт для фреймворка )
Это не гениально. Можно еще открыть код картинки в блокнотике и туда вставить пхп скриптик . Вот тогда сложнее отличить картинку от скрипта
Для одаренных повторюсь - запустить загруженный img.jpg как php невозможно, а расширение php никаким макаром не загрузится на сервер, т.к. у нас белый лист. Иначе - бегом в песочницу и строчишь код. Пи3даболы. --- Добавлено --- Никакие. Дырявый сайт никак не спасет. Он дефолтом служит для единой точки и т.д. PHP: AddDefaultCharset UTF-8 DirectoryIndex index.php RewriteEngine On # Redirect Trailing Slashes If Not A Folder... RewriteCond %{REQUEST_FILENAME} !-d RewriteRule ^(.*)/$ /$1 [L,R=301] # Handle Front Controller... RewriteCond %{REQUEST_FILENAME} !-d RewriteCond %{REQUEST_FILENAME} !-f RewriteRule ^ index.php [L]
Если НЕ папка, то режем слеш в конце, а если папка, то пусть торчит наружу да ещё и со слешем? Какой смысл такого обрезания?