briedis Posted January 14, 2010 Report Share Posted January 14, 2010 (edited) Sveiki! Admin panelī tiek izmantoti dažādi js faili, kas ir ielikti publiskā direktorijā (protams, nevar redzēt direktorijas saturu, bet pastāv iespēja uzminēt faila nosaukumu). Saturs tur principā ir ajax funckionalitāte. Vai ir kāds sakarīgs veids, kā padarīt nepieejamus tos failus ne-adminam? Varbūt taisīt viņus kā *.php un sākumā pārbaudīt, vai lietotājs ir admins, ja nav, tad exit()? Ielikt kaut kādā atsevišķā dirā un prasīt htaccess loginu? (šito negribētos) It kā jau ja cilvēks arī tiktu pie js satura, tas neko viņam nedotu, jo tālāk tāpat tiek veiktas lietotāja pārbaudes pie ajax izsaucamajiem php failiem... Labprāt uzklausītu jūsu pārdomas :) Edited January 14, 2010 by briedis Quote Link to comment Share on other sites More sharing options...
2easy Posted January 14, 2010 Report Share Posted January 14, 2010 Labvakar! :) ja jau baigi vajag atļaut tikt pie js tikai adminam <?php if (!$bAdmin) exit; // tikai kkur dabū to $bAdmin - bool ir/nav admins header('Expires: ' . gmdate('D, d M Y H:i:s', mktime(date('H'), date('i'), date('s'), date('m'), date('d'), date('Y') + 1)) . ' GMT'); header('Content-Type: application/x-javascript'); ?> tavs js goes here... šādi padodot js/css, lieku klāt arī future expires headeri, lai mazāks trafiks. jaunāku versiju var forsēt, nomainot uri, piemēram, ?v123 var arī ar .htaccess atļaut piekļūt tikai no admina ip, ja tāda ir zināma Quote Link to comment Share on other sites More sharing options...
briedis Posted January 14, 2010 Author Report Share Posted January 14, 2010 (edited) Nu jā, tad prātīgākais laikam ir taisīt kaut kādu php handleri, kas attiecīgi padod to js failu caur sevi... Hmm, a varbūt var ielikt dirā, kas pieejama tikai no kaut kāda IP, bet tas IP tiek norādīts brīdī, kad admins ielogojas? Tjipa editēt htaccess ar php... bet tas neizklausās prātīgi... EDIT: ar htaccess maza pieredze, bet moš viņā var kaut kā inklūdot failu ar IP, kas pieder adminam un ar kuru var piekļūt JS failu dir'ai? EDIT2: es nezinu, cik vispār smuki ir rakstīt htaccess failos ar php? :) Man tas izklausās netīri... Edited January 14, 2010 by briedis Quote Link to comment Share on other sites More sharing options...
2easy Posted January 14, 2010 Report Share Posted January 14, 2010 Nu jā, tad prātīgākais laikam ir taisīt kaut kādu php handleri, kas attiecīgi padod to js failu caur sevi... nav jau obligāti kkur jāliek atsevišķs js fails. tur pat tajā "handlerī" aiz header(), kad php beidzas, ieliec js tas IP tiek norādīts brīdī, kad admins ielogojas? Tjipa editēt htaccess ar php... oo dinamiskais .htaccess :D:D:D tiešām 3:30 cienīga ideja ;) njaa var jau pēc admin logina taisīt .htaccess overwrite ar Allow from admin-ip kāpēc gan ne ;) EDIT: ar htaccess maza pieredze, bet moš viņā var kaut kā inklūdot failu ar IP, kas pieder adminam un ar kuru var piekļūt JS failu dir'ai? htaccess var tikai tik, cik tas ir uztaisīts, lai tas varētu ;) http://httpd.apache.org/docs/2.0/mod/mod_access.html Quote Link to comment Share on other sites More sharing options...
briedis Posted January 14, 2010 Author Report Share Posted January 14, 2010 Jā, dinamiskais htaccess :) (gūglēju jau) Bet to rīt :D GN! Quote Link to comment Share on other sites More sharing options...
2easy Posted January 14, 2010 Report Share Posted January 14, 2010 cya ^^ Quote Link to comment Share on other sites More sharing options...
Grey_Wolf Posted January 14, 2010 Report Share Posted January 14, 2010 kas ir ielikti publiskā direktorijā (protams, nevar redzēt direktorijas saturu, bet pastāv iespēja uzminēt faila nosaukumu). Varbuut var likt Ne publiskaa direktorijaa?? Un vel jau pastav iespeja tos failu nosaukumus izdomaat taadus lai vienkarshi nebuutu iespejams vinjus uzmineet ... nu ja ipashi nav jaustraucas par trafiku tad var arii vienkashi nolamat ka PHP & includot kaa php failu tkai faila sakumaa ielikt <script> un beigas protams neaizmirst </script> Quote Link to comment Share on other sites More sharing options...
briedis Posted January 14, 2010 Author Report Share Posted January 14, 2010 Varbuut var likt Ne publiskaa direktorijaa?? Un vel jau pastav iespeja tos failu nosaukumus izdomaat taadus lai vienkarshi nebuutu iespejams vinjus uzmineet ... nu ja ipashi nav jaustraucas par trafiku tad var arii vienkashi nolamat ka PHP & includot kaa php failu tkai faila sakumaa ielikt <script> un beigas protams neaizmirst </script> Nuuuu, nejau tik publiska, ka jebkurš var redzēt tās mapes saturu :) Karoč, vai nu piedomāt sarežģītāku nosaukumu - uz ko es vairāk sliecos, vai arī taisīt php handleri, tjipa <script type="text/javascript" src="js/getjs.php?=fails"></script> kur pārbaudīt vai lietotājs ir admins un attiecīgi rīkoties. Quote Link to comment Share on other sites More sharing options...
indoom Posted January 14, 2010 Report Share Posted January 14, 2010 Varbūt var uzlikt htpasswd admina direktorijā, un turēt visus failus zem tās direktorijas, tad, attiecīgi, bez paroles netiks nevienam failam klāt. Var arī izmantot mod_auth_mysql. Quote Link to comment Share on other sites More sharing options...
Grey_Wolf Posted January 14, 2010 Report Share Posted January 14, 2010 Nuuuu, nejau tik publiska, ka jebkurš var redzēt tās mapes saturu :) nu bet?? ja tos failus var uzlikt ARPUS web direktorijas ( docruuta) kur problemas?? konkretaa admin panelii autorizee useri, un ja viss ok tad incluudo no arejaas diras. Normai nokonfigureta serverii Includojamie faili jau tapat naks no direktorijas , kurai var piekluut tikai no localhost ( tas ir PHP varees, bet areejie useri too vienkarshi fiziski neredzees...) tuur arii ieliec ( *.php kur ieksa <script..... ) ja kads gribes pataisno tad vienkarshi vinjam netiks dotas tadas tiesiibas.. Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.