.htaccess файлы, которые могут присутствовать в
каталоге. Это означает что если у вас есть файлы, которые защищены с использованием стандартного, основанного на особенности сервера .htaccess
контроля доступа, потенциально хакеры могут обойти эту защиту, загружая страницу через PHP/FI.
Имеется пара различных решений для этой проблемы. Самое простое -
использовать особенность PATTERN_RESTRICT, находящуюся в
php.h. Это
позволяет вам определить расширение (или шаблон расширений) файлов, которые
можно передавать для анализа PHP/FI. Если у файла другое расширение и
кто-либо пытается загружать через PHP/FI, появится сообщение: в доступе
отказано.
Другое решение состоит в том, чтобы использовать механизм управления
доступом PHP/FI, чтобы подражать установке контроля доступа, который
определен в вашем .htaccess файле. Хранение этой информации в двух местах
может быть утомительно, хотя и две эти системы не разделяют все те же самые особенности.
Проблема может также быть решена использованием установки прав доступа к файлу.
PHP/FI может быть установлен, чтобы выполнить setuid как любой пользователь, которого Вы пожелаете. Затем файлам, которые должны читаться PHP/FI,
могут быть установлены соответствующие биты доступа. Для файлов, которые не должны читаться PHP/FI, должны быть установлены владелец с другим идентификатором пользователя и соответственно измененные права доступа.
[Назад]
[Содержание]
[Вперед]
FLASH
