سلام
معمولا فایل های config.php شامل یک سری متغیر (Variable) هستند که مثلا Username و Password دیتابیس رو در خودشون ذخیره می کنند.
یا مثلا فایل هایی با نام function.php شامل یک سری توابع هستند.
در بعضی از اسکریپت ها اگر مستقیما آدرس این فایل ها رو به عنوان یک url در جستجوگر تایپ کنیم و بخایم این فایل ها رو اجرا کنیم در صفحه جستجوگر هیچ چیزی نمایش داده نمیشه. البته دلیلش مشخصه چون هیچگونه خروجی متن ندارند.
سوال یک : می خام کاری کنم که اگر کاربری مستقیما آدرس این فایل ها رو وارد کرد ، یک پیغامی مثلا با عنوان « دسترسی مستقیم به این فایل امکان پذیر نیست » نمایش داده بشه.
از اونجایی که معمولا این نوع از فایل ها در فایل های دیگه include میشن با استفاده از echo ساده نمیشه چنین کاری کرد. چون ممکنه در اسکریپت اصلی هم نمایش داده بشه.
یک راه حل دیگه هم که به ذهنم رسید استفاده از rewrite mod آپاچی بود که نمی دونم دوستان توصیه می کنند یا نه.
سوال دو : آیا نیاز هست که بیش از حد نسبت به این فایل ها حساسیت داشت و اقدامات امنیتی بیشتری در موردشون انجام داد؟ من چند سال پیش بر روی یک هاست یک فروم نصب کردم و یک هکر (نمی دونم چه جوری) به راحتی می تونست نام کاربری و کلمه عبور دیتابیس رو از توی فایل config.php بخونه و سایت رو هک کنه ( واین اتفاق 2 یا 3 بار تکرار شد). برای جلوگیری از این کار فایل config رو به پشت شاخه root انتقال دادم تا کسی نتونه مستقیما بهش دسترسی داشته باشه و از اون به بعد دیگه هکره نتونست کاری کنه. آیا به غیر از این راه ، راه های امنیتی دیگه ای هم موجود هست؟
سوال سه؟ در اسکریپت های جدید نام فایل config.php به config.inc.php تغییر پیدا کرده این دلیل خاصی داره؟
خیلی ممنون.
معمولا فایل های config.php شامل یک سری متغیر (Variable) هستند که مثلا Username و Password دیتابیس رو در خودشون ذخیره می کنند.
یا مثلا فایل هایی با نام function.php شامل یک سری توابع هستند.
در بعضی از اسکریپت ها اگر مستقیما آدرس این فایل ها رو به عنوان یک url در جستجوگر تایپ کنیم و بخایم این فایل ها رو اجرا کنیم در صفحه جستجوگر هیچ چیزی نمایش داده نمیشه. البته دلیلش مشخصه چون هیچگونه خروجی متن ندارند.
سوال یک : می خام کاری کنم که اگر کاربری مستقیما آدرس این فایل ها رو وارد کرد ، یک پیغامی مثلا با عنوان « دسترسی مستقیم به این فایل امکان پذیر نیست » نمایش داده بشه.
از اونجایی که معمولا این نوع از فایل ها در فایل های دیگه include میشن با استفاده از echo ساده نمیشه چنین کاری کرد. چون ممکنه در اسکریپت اصلی هم نمایش داده بشه.
یک راه حل دیگه هم که به ذهنم رسید استفاده از rewrite mod آپاچی بود که نمی دونم دوستان توصیه می کنند یا نه.
سوال دو : آیا نیاز هست که بیش از حد نسبت به این فایل ها حساسیت داشت و اقدامات امنیتی بیشتری در موردشون انجام داد؟ من چند سال پیش بر روی یک هاست یک فروم نصب کردم و یک هکر (نمی دونم چه جوری) به راحتی می تونست نام کاربری و کلمه عبور دیتابیس رو از توی فایل config.php بخونه و سایت رو هک کنه ( واین اتفاق 2 یا 3 بار تکرار شد). برای جلوگیری از این کار فایل config رو به پشت شاخه root انتقال دادم تا کسی نتونه مستقیما بهش دسترسی داشته باشه و از اون به بعد دیگه هکره نتونست کاری کنه. آیا به غیر از این راه ، راه های امنیتی دیگه ای هم موجود هست؟
سوال سه؟ در اسکریپت های جدید نام فایل config.php به config.inc.php تغییر پیدا کرده این دلیل خاصی داره؟
خیلی ممنون.
Last edited:
