wingmanz Posted January 8, 2008 Report Posted January 8, 2008 Sveiki visiem un sveiciens jaunajā gadā! Tad tā. Veidoju lapu, kur daļa informācijas jūzeriem glabājas uz txt failiem un attiecīgi caur savām juzeru administrācijām viņi šos txt failus maina. Vai jūs varētu apgaismot un dot padomus, kādi varētu būt drošības caurumi un kur varētu rasties kādi ielaušanās mēģinājumi gadijumos, kad info tiek glabāta uz .txt failiem nevis datubāzē. Jūzeri gan tiešā veidā klāt txt failiem netiek, taču, kad viņi aizpilda formas, dati tiek aiznesti uz šiem failiem nevis datubāzi.
bubu Posted January 8, 2008 Report Posted January 8, 2008 Nekas īpaši savādāks īsti nav. Tāpat kā DB arī failos rakstot jāeskeipo bīstamie simboli (enters visdrīzāk, ja ieraksti ir ar enteru atdalīti).
Aleksejs Posted January 8, 2008 Report Posted January 8, 2008 Protams, jānodrošina, lai pie šiem *.txt failiem nebūtu tieša piekļuve: http://www.wingmanz.win/includes/users_with_passwords.txt
Delfins Posted January 8, 2008 Report Posted January 8, 2008 glabāt .txt ārpus web-root-a pēc iespējas mazāk izmantot dounload/upload skriptus pārejais viss tas pats, kas uz DB attiecās.
wingmanz Posted January 8, 2008 Author Report Posted January 8, 2008 Protams, jānodrošina, lai pie šiem *.txt failiem nebūtu tieša piekļuve:http://www.wingmanz.win/includes/users_with_passwords.txt To ar .htaccess? ok. paldies par palīdzību..
Delfins Posted January 8, 2008 Report Posted January 8, 2008 Uz .htaccess tik ļoti nevar paļauties. Labāk glabāt ārpus web-root un chroot-ot
Kristabs Posted January 8, 2008 Report Posted January 8, 2008 Delfins, kādas tad iespējas viņu apiet??
andrisp Posted January 8, 2008 Report Posted January 8, 2008 Kristabs, web serveris nogļuko (konfigurācija noresetojas, piem) un pēkšņi htaccess faili tiek ingorēti.
Aleksejs Posted January 8, 2008 Report Posted January 8, 2008 include(aizliegtais_fails.txt) iekš PHP, manuprāt nav pakļauta .htaccess darbībai arī. Tādēļ ir jānodrošinās, ka cilvēks nevar izveidot jaunu php failu, kas ieincludē aizliegto.
Kristabs Posted January 8, 2008 Report Posted January 8, 2008 Ja serveris nogļuko, tad netiek servēts arī pats txt. Gadījumu, ka noresetojas settingi, gan neiedomājos. Liekas neiespējami :) , ja nu vienīgi kaut kāds publiskā hostinga serveris, kuram tiek apdeitots softs. Nu labi, vienmēr viss ir iespējams.
Delfins Posted January 8, 2008 Report Posted January 8, 2008 Topika autoram arī iesaku pārdomāt sakarā ar tiem .txt. Neredzu iemeslu, kāpēc lai mūsdienās neizmantotu DB. Ar failiem ir ļoti liels čakars - un kārtējie topiki "neļauj izveidot failu" izpaliks. PS: pats esmu taisījis vienu CMS-like lapu uz failiem.. draņķis un laika tērēšana :)
Paulinjsh Posted January 8, 2008 Report Posted January 8, 2008 var jau ņemt nevis failus, bet sqlite piemēram.. ja jau nu nekādi ar mysql nevar
Recommended Posts