File jogosultság problémák, biztonság
A következő a problémám:
szeretném elérni, hogy a tárhelyemen az adatbázis jelszavakat tartalmazó php file ne legyen böngészéssel elérhető. Ha pl. .inc kiterjesztésű lenne, akkor bárki aki véletlenül rátalál azonnal leolvashatná a MySQL hozzáférési adatokat.
Bizonyos ingyenes szolgáltatóknál tökéletesen működött, hogy a file jogosultságokat átállítottam, csak az owner -nek legyen read és execute joga, de ez az extra.hu-nál és a jelenlegi fizetős szolgáltatómnál nem működik! Végigpróbáltam szinte minden kombinációt, vagy a futó php alkalmazásom sem tudja végrehajtani és böngészőből sem végrehajtható a script (forbidden), vagy mindkét módon megnyitható. Azt szeretném elérni, hogy csak a szerveren futó script részeként lehessen futtatni a scriptet (include). Próbálkoztam FTP klienssel (Total Commander, Win alatt) és php Chmod-al (0 prefixel) egyaránt, sehogy sem működött a dolog.
Lenne még egy kérdésem: van arra mód, hogy rosszándékú valaki belenézzen egy eképpen számára elérhető php scriptbe, tehát ahelyett, hogy lefutna, megtekintse a tartalmát, vagy esetleg valahogyan hozzáférjen a tartalom részeihez, vagy pl a változók értékeihez? Azért kérdezem ezt mert olvastam, hogy pl. a MySQl jelszavakat biztonságosabb egy külön fileban, csökkentett file-jogosultságokkal tárolni. Ezek szerint publikus pl. index.php-nkból van mód változók adatainak kifejtésére?
■ szeretném elérni, hogy a tárhelyemen az adatbázis jelszavakat tartalmazó php file ne legyen böngészéssel elérhető. Ha pl. .inc kiterjesztésű lenne, akkor bárki aki véletlenül rátalál azonnal leolvashatná a MySQL hozzáférési adatokat.
Bizonyos ingyenes szolgáltatóknál tökéletesen működött, hogy a file jogosultságokat átállítottam, csak az owner -nek legyen read és execute joga, de ez az extra.hu-nál és a jelenlegi fizetős szolgáltatómnál nem működik! Végigpróbáltam szinte minden kombinációt, vagy a futó php alkalmazásom sem tudja végrehajtani és böngészőből sem végrehajtható a script (forbidden), vagy mindkét módon megnyitható. Azt szeretném elérni, hogy csak a szerveren futó script részeként lehessen futtatni a scriptet (include). Próbálkoztam FTP klienssel (Total Commander, Win alatt) és php Chmod-al (0 prefixel) egyaránt, sehogy sem működött a dolog.
Lenne még egy kérdésem: van arra mód, hogy rosszándékú valaki belenézzen egy eképpen számára elérhető php scriptbe, tehát ahelyett, hogy lefutna, megtekintse a tartalmát, vagy esetleg valahogyan hozzáférjen a tartalom részeihez, vagy pl a változók értékeihez? Azért kérdezem ezt mert olvastam, hogy pl. a MySQl jelszavakat biztonságosabb egy külön fileban, csökkentett file-jogosultságokkal tárolni. Ezek szerint publikus pl. index.php-nkból van mód változók adatainak kifejtésére?
miert .inc?
miert .inc?
Webroot
Webrootba?
Tiltható .htaccess-ből is az *.inc fileok kiszolgálása.
Root
Viszont a leiras alapján sejthetö mire gondoltam volna...)
szerk: szerintem az kavart be hogy asszem az emlitett extrán van olyan mappa a gyokerben hogy wwwroot vagy webroot(és épp az járt az eszemben))),persze ott viszont mellé kell tenni...
oké
Így, hogy nem elérhető a file a webről, sokkal megnyugtatóbb.