includoto failu drošība

[newnew]

Man ir index.php fails, kurā iekšā es includoju dažādus failus, atkarībā no tā, kāda ir sadaļa.

Tad index.php failā ir sekojošais:

 

include "authorizacijas parbaude.php" - pārbauda vai ir ielogojies leitotājs (vai sesijas mainīgais ir).

...

if ($sadala = 1) include "1.php"

else if ($sadala = 2) include "2.php"

...

 

Tad jautājums ir tāds - index.php failā es veicu autorizācijas pārbaudi. Kā nodrošināt to, lai lietotājs nevarētu urlā pa tiešo ierakstīt ...1.php un tur redzēt, kas nav aizliegts.

1) Vai iespējams šos visus inkludotos failus aizvākt tā, lai tiem vienkārši nebūtu pieeja?

2) Ja to nevar izdarīt, tad laikam katrā inkludotā failā būtu jāpārbauda lietotāja ielogošanos?

[bubu]

Visdrošāk tos ir likt ārpus web direktorijas:

/direktorija
/direktorija/htdocs
/direktorija/htdocs/index.php
/direktorija/includes/1.php
/direktorija/includes/2.php

 

Un tad inklūdē tos ar include("../includes/1.php");

[Val]

index faila sākumā pieliec

define('BLABLABLA', null);

 

katra includojamā faila sākumā veic vienu pārbaudi

if(!defined('BLABLABLA')) { die(); };

 

inklūdes vari glabāt, kur pats vēlies. Ierakstot adresi pa taisno uz inklūdi, nekas nesanāks.

[newnew]

A ja teorētiski es uztaisu šitā:

 

/direktorija
/direktorija/htdocs
/direktorija/htdocs/index.php
/direktorija/htdocs/includes/1.php
/direktorija/htdocs/includes/2.php

 

Un tad inklūdē tos ar include("includes/1.php");

 

Vai tas nav droši un kāpēc īsti?

[bubu]

Tad kāds browserī ieraksta http://tava_lapa.lv/includes/1.php un var sākt kaut ko aizdomīgu darīt, ja nebūsi pielietojis papildus aizsardzību pret to.

[newnew]

Es to jautāju, jo man ir tāda situācija, ka es ielogojos ftp serverī un tad jau it kā esmu iekšā public_folderī. (skat. manu nākamo trheadu forumā).