Ach ne! Kde je JavaScript?
Váš webový prohlížeč nemá povolen JavaScript nebo nepodporuje JavaScript. Pro správné zobrazení tohoto webu nebo pro upgrade na webový prohlížeč, který podporuje JavaScript, povolte JavaScript ve webovém prohlížeči.
PHP-Fusion 9 Jádro
v9.03.00
Překlad CZ/SK
Pravidelně aktualizovaný
Demo
Testovat PHP-Fusion

Novinky

Jak zakázat soubory

Jak zakázat soubory
Kodéři a webmasteři musí často řešit problém spojený s prolomením bezpečnosti webových stránek. Zvláště napadnutelné jsou starší OpenSource projekty. Proto nečekat a tzv. volání souborů podle přípony zakázat.

Kodéři a webmasteři musí často řešit problém spojený s prolomením bezpečnosti webových stránek. Zvláště napadnutelné jsou starší OpenSource projekty. Proto nečekat a tzv. volání souborů podle přípony zakázat.

Můžeme se do toho pustit za podmínky, pokud máme v root adresáři hostitelského FTP, konkrétního serveru/webu, systémový soubor .htaccess. Prostě v adresáři root zabráníme volání souboru podle přípony.

V adresáři, v kterém chcete omezení zřídit (např. images), vložte do souboru s názvem .htaccess tento zápis s regulárním výrazem:


 Order Deny,Allow
 Deny from all

Seznam přípon v prvním řádku (případně celý regulární výraz) můžete upravit dle potřeb. Načež soubory s touto koncovkou nebude možné zobrazit prohlížečem přímo (z jiného PHP skriptu na serveru přístupné nadále budou).

Výsledek: Když hacker napadne konkrétní webovou stránku a podaří se mu vložit do adresáře jeho útročný PHP skript, server odmítne tento soubor spustit.

Nakonec si ověříme, zda náš zákaz otevírání souboru funguje. Vytvoříme si (rovněž v root adresáři, kde je uložen konkrétní soubor) jiný krátký soubor s několika řádky textu test.php. Tento soubor test.php uložíme a poté v prohlížeči zavoláme.

Příklad volání takového souboru: http://www.example.com/../../images/test.php (samozřejmě podle adresáře FTP). Váš vytvořený test na serveru/webu by měl odpovědět chybou 403. Pokud by vrátil chybu 404, zřejmě máte v URL zadánou chybnou cestu.

  • Autor: Vícha Květoslav (Kvido)
  • PC-politika.cz
  • Zdroj: Soubor-htaccess
  • Stupeň znalosti - expert
  • !function(d,s,id){var js,fjs=d.getElementsByTagName(s)[0],p=/^http:/.test(d.location)?'http':'https';if(!d.getElementById(id)){js=d.createElement(s);js.id=id;js.src=p+'://platform.twitter.com/widgets.js';fjs.parentNode.insertBefore(js,fjs);}}(document, 'script', 'twitter-wjs');

Kvido 20.04.2016 09:01 1,065 0 komentářů

0 komentářů

Zanechat komentář

Přihlaste se, abyste mohli zveřejnit komentář.
  • Žádné komentáře nebyly zveřejněny.

Nejnovější témata fóra
  Vlákno Zobrazení Odpovědi Poslední příspěvek
verze 8 administrace
v Administrace obsahu
29 2 chopper
24-05-2019 20:17
Vodoznak
v Administrace obsahu
36 0 Balin50
22-05-2019 17:20
Súkromná správa
v Administrace obsahu
61 2 Balin50
21-05-2019 14:44
Na Stiahnutie
v Administrace systému
66 2 RobiNN
21-05-2019 14:09
SQL injection a XSS
v Pomoc
82 2 Bujcek
18-05-2019 19:27
Po aktivovani https stranka nefunguje
v Bugy a chyby
8359 5 RobiNN
06-05-2019 21:50
Úprava věcí v php fusion
v Obecná diskuse
374 1 RobiNN
06-05-2019 21:40
Přihlášení
Ještě nejste členem? Klikněte zde a zaregistrujte se.