file .php in cartelle non protette

ciao a tutti ...

si legge da più parti che non è buona norma di sicurezza avere file in cartelle non protette

in qunato conoscendo il link è possibile accedergli

quindi se sono dati sensibili conviene spostarli in una cartella sopra la root non accessibile via browser

e sicuramente sono d'accordo quando si parla di un file di inclusione .inc o file .txt ecc

ma mi domando se ho un file config.php (con i dati per la stringa di connesione al db) se questi è un file .php ugualmente non è possibile ricavare i valori delle variabili di connessione

ho cercato invano di "auto hackerarmi" in diversi modi:

cercando di non far processare il file .php , ma niente

di includere il file .php in altro script su altro server e fare il print delle variabili (a me note) ,

ma niente , seppur non mi da errore nell'inclusione non mi vede le variabili e mi stampa errore di variabile indefinita

CONCLUSIONE

perchè quindi avere un file config.php in una cartella non protetta non è sicuro?

inviato 9 anni fa
dyd666
X 0 X
perchè quindi avere un file config.php in una cartella non protetta non è sicuro?

se nel file ci sono solo assegnazioni di variabili allora non devi preoccuparti di nulla

 :bye:

risposto 9 anni fa
Gianni Tomasicchio
X 0 X

thanks  8)

risposto 9 anni fa
dyd666
X 0 X

pardon se riprendo il post.......

ma quando allora dovrei preoccuparmi? :P

risposto 9 anni fa
dyd666
X 0 X
ma quando allora dovrei preoccuparmi? :P

Se parli di sicurezza in genere allora sono molte le cose da controllare....

risposto 9 anni fa
Gianni Tomasicchio
X 0 X

diciamo che sto facendo una panoramica in genere

ok per filtraggio ed escape dei dati per sql injecton

ok per iniezione sessioni

ok per per include dinamici

stiamo cominciando il discorso di come deve esser configurato un server (anche se la vedo molto dura in quanto se si cambia la configurazione penso che molti siti non funzioneranno:-p)

ma rimanendo in tema di post

vorrei capire come un estroso hacker o povero lamer :-p potrebbe trarre giovamento da un file php in cartella pubblica

che ti devo dire ....se non capisco non dormo la notte........

:-)

risposto 9 anni fa
dyd666
X 0 X

Usare file con estensione diversa da .php è pericoloso perché permette la lettura del suo contenuto a chiunque conosca l'URL. Per i file .php invece valgono tutte le raccomandazioni "classiche" che tu hai citato (e ti pare poco?)

 :bye:

risposto 9 anni fa
Gianni Tomasicchio
X 0 X

eheeh gianni pardon ...

rileggendomi mi sa che non sono stato molto chiaro

il mio cruccio era appunto se potevo o non ,mettere la stringa di connessione (e solo quella) in cartella pubblica ...

domanda a cui in realta gia mi avevi risposto affermativamente  ;D ;D

ciao ciao e thanks

risposto 9 anni fa
dyd666
X 0 X
Effettua l'accesso o registrati per rispondere a questa domanda