impostazione del sito Web per utenti registrati, chiunque e file che nessuno dovrebbe vedere (via web) [chiuso]

Naviga le tue risposte
-1

Ho chiesto come impedire agli utenti non registrati di vedere determinati contenuti ma la soluzione che ho scelto di implementare ha riscontrato un problema . Ho scelto di creare la mia directory root per il server C:\WAMP\www\public e di includere i file che voglio solo che gli utenti registrati possano vedere da C:\WAMP\www\private . Il problema è che se ho uno script che deve essere interpretato dal server (come .php) che non voglio il pubblico ma se li metto in private il server non li eseguirà e se metto li in public quindi chiunque può accedervi. Dovrei abbandonare questo approccio con private e public e usare invece .htaccess? Nel secondo link un suggerimento era di creare un file nella directory public che includesse lo script nella directory private , ma penso che sia troppo complicato. Qualche soluzione migliore?

Vieni a pensarci, ci sono davvero tre livelli di sicurezza

  1. Contenuti che chiunque può vedere (ad esempio la pagina di registrazione)
  2. Solo il contenuto registrato dagli utenti può vedere (ad esempio la sezione solo membri)
  3. Contenuti che nessuno può vedere (ad esempio script che aggiungono account utente o effettuano chiamate al database - tieni duro è anche una violazione della sicurezza se qualcuno può vedere questo tipo di le cose?)
posta Celeritas 08.02.2013 - 18:32
fonte

1 risposta

2

Sembra che potrebbero esserci alcune cose strane o incomprensioni in corso qui. Un server web presenterà solo i file a un utente che è stato incaricato di fornire. Per impostazione predefinita, su molti server Web, questo è qualsiasi contenuto che non ha un mezzo di elaborazione diretta, quindi tutti i file nella cartella web finiscono per essere visibili pubblicamente. Tuttavia, nel caso di un file script lato server configurato correttamente come PHP, il server dovrebbe invece passare il file a un gestore (PHP) per essere interpretato e quindi fornisce l'output di tale script al client che richiede il "file".

In generale, i gestori di script verranno eseguiti come utente separato dal server web. Il motore di scripting deve avere accesso ai file di cui ha bisogno per essere eseguito e il server web deve semplicemente essere in grado di chiamare il motore di scripting. In questo modo, puoi avere i file di script che PHP può ottenere a cui il web server non ha accesso. Inoltre, questo dovrebbe consentire di interpretare i file PHP ovunque si trovi l'URL che li indica. Devi semplicemente assicurarti che l'associazione al motore di scripting sia configurata correttamente.

Per quanto riguarda le specifiche di configurazione sul tuo server particolare, i webmaster potrebbero essere più utili poiché hanno una gamma più ampia di esperienze con particolari applicazioni del server web e gli script non sono direttamente un problema di sicurezza.

    
risposta data 08.02.2013 - 19:08
fonte

Leggi altre domande sui tag

Iniezione SQL: attacchi di NEw scoperti sul mio sito. si prega di avvisare A quale offset è la chiave pubblica in una catena di certificati codificati DER?