Всея ПЫХА
epsyl
adw0rd
Мавр
ГО
Irinax
Дек 10
2008прячем php файлы от лишних глаз :)
Рубрики: (crossblog.ru, php, Апаче (не вертолет)) Автор: phpdude 10-12-2008
Теги : apache, php, защита от дурака
тема – спрятать файлы от дурака.
зачем? – повышаем секюрность php сайтов.
предистория – у меня есть api сервер, хочу сделать красивые запросы вида /userinfo, /userdetails и тп. но не хочу чтоб малокососы палили что там пхп запросами /userinfo.php и тп.
RewriteEngine On
RewriteCond %{THE_REQUEST} \.php\s
RewriteRule .* 404.html [L]RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME}.php -f
RewriteCond %{THE_REQUEST} !\.php\s
RewriteRule (^[^\.]+$) $1.php [L]
собственно вот так можно скрыть присутствие пхп на сайте 
+ задно получаем некоторый rewriterule, что очень полезно, по крайней мере для моей цели
вот пример реализации.
http://api.crossblog.ru/test
видим ответ веб сервера. пхп скрипта.
http://api.crossblog.ru/test.php
видим 404ую ошибку. ну и редирект на якобы папку с якобы файлами ошибок.
Not Found
The requested URL /404.html was not found on this server.
Повторюсь, это конечно же «защита от дурака»
этот метод не панацея + expose_php=off и вычлюченном error_reporting’e думаю что может отсечь 95% мудаков, которые «хакают» сервера.
какие методы применяете вы?
О САЙТЕ
В данный момент делаю (пока не знаю каков будет результат) реврайтрул по любому запросу на стартовую страницу (которую с помощью .htaccess определил как poehali.ggg), в которой подключается обработчик УРЛов. Ну и отдается нужные данные по запросу. УРЛы стояться на основании моего «урловидения». Все подключаемые файлы имеют «левые» расширения.
Цель: отсечь засорение файлов ява-скриптами (по типу вставок АйФреймов в файлы html или php) + трудно предугадать используемое расширение файлов. Результат – неизвестен. Надежда – большая
вопрос только в том, где смысл? )))))
Ну изначально смысл закладывался в:
1. Сделать обработку урлов скриптом, а не .htaccess, по той причине. что не шарю как нормально обрабатывать все этим самым .htaccess
2. Изменение имен файлов и расширений файлов – заоднопридуманное, как защита от дырки в ФТП, и последующего залития iframe во все индексовые (а иногда и не только в них) страницы с известными расширениями. Вызвано недавней кражой паролей от ФТП у знакомой, с последующим залитием во все индекс-файлы чужеродного кода.
п.с. С моими знаниями о защите – все что могу. Как минимум от таких же как и я сам (по уровню знаний) оградиться смогу.
1. это более разумный вариант по причинам описанным в предыдущих статьях про реврайтинг урлов. в частности потому что не все веб сервера поддерживают это
ну можно переименовать файлы, это должно помочь, но проблема в том, что syntax highlighting придется перенастраивать чтоли чтобы они подсвечивали .ggg файлы)
2. кража паролей от фтп да . пидорство конечно
А зачем подсвечивать файлы с помощью syntax highlighting ? точнее зачем их вообще подсвечивать?
В общем, пока работает усе, и работать мне с такими файлами удобно (точно также как и с обычними пхп-файлами). Единственная трабла выползла с подхватом картинок (из-за реврайтрула), но думаю что сегодня вечером с помощью советов с сирчэнжина эта трабла отправится найух!
))))))))))) первый совет – отправь серчэнж найух! иди на пыху! там мастера! а на серче так .. школьничество.
http://pyha.ru
Хм… на античате имхо народ попрофнее)))
Not Found
The requested URL /404.html was not found on this server.
Это конечно отжиг )))) Тут имхо лучше хедер с 404 отдавать