permisos htaccess ejemplo denegar configurar carpeta bloquear archivos acceso php .htaccess

php - ejemplo - ¿Es seguro denegar el acceso al archivo.ini en.htaccess?



htaccess ejemplo (3)

El .htaccess bloqueará el acceso desde la web. Sin embargo, si está utilizando un entorno de alojamiento compartido, es posible que otros usuarios accedan a su ini. Si está en un servidor (virtual privado) y usted es el único usuario de ese servidor, está a salvo.

En caso de alojamiento compartido, depende de la configuración del servidor. Para obtener más información, lea: Seguridad de PHP en un entorno de alojamiento compartido

Puede instalar PHPShell temporalmente y navegar a través del sistema de archivos del servidor para verificar si su servidor es vulnerable. (requiere algún conocimiento de línea de comandos)

Tengo un archivo .ini con información confidencial en mi aplicación php wab. Denegué el acceso a él utilizando un archivo .htaccess:

<files my.ini> order deny,allow deny from all </files>

No tengo acceso a carpetas fuera de htdocs, por lo que no puedo mover el archivo .ini fuera del territorio explorable.

¿Está segura mi solución?

El archivo no será visible desde apache. Obviamente, la mejor opción es colocarlo fuera de la raíz de su sitio. Si no puede hacer eso, los archivos .htaccess (o directivas similares en sus configuraciones de Apache) son prácticamente su única opción.

Otra buena solución y mi favorito personal (especialmente al desarrollar código que podría no quedar bajo mi estricto control de .htaccess) es asegurar el archivo .ini real. Gracias a un alma amable aquí - notas de usuario: pd en bits congelados dot de , lo que hago es:

my.ini -> changes to my.ini.php

my.ini.php comienza:

;<?php ;die(); // For further security ;/* [category] name="value" ;*/

¡Funciona perfectamente! Acceda al archivo directamente y todo lo que ve es '';'' y es un archivo .ini válido y analizable. Que es no gustar :)

Algunas notas sobre la implementación real (disculpas si esto cuenta como "sobre-compartir" pero tal vez le salve algo de tiempo a alguien):

  1. Este archivo hace que mi IDE esté muy molesto y sigue tratando de formatear automáticamente, lo que hace que PHP esté molesto. Bendiciones en Notepad ++.
  2. No olvides el cierre ;*/ . Todavía funciona si lo dejas afuera pero PHP te advierte que está a punto de convertirse en molesto.

Ordenado