Ich habe eine INI-Datei mit vertraulichen Informationen in meiner php wab App. Ich habe den Zugriff darauf mit einer .htaccess-Datei verweigert:
%Vor%Ich habe keinen Zugriff auf Ordner außerhalb von htdocs, daher kann ich die INI-Datei nicht aus einem durchsuchbaren Bereich verschieben.
Ist meine Lösung sicher?
Der .htaccess blockiert den Zugriff vom Web. Wenn Sie jedoch eine Shared Hosting-Umgebung verwenden, können andere Benutzer möglicherweise auf Ihre Ini zugreifen. Wenn es auf einem (virtuellen privaten) Server ist und Sie der einzige Benutzer für diesen Server sind, sind Sie in Sicherheit.
Bei Shared Hosting hängt es von der Serverkonfiguration ab. Für weitere Informationen lesen Sie: PHP-Sicherheit in einer Shared Hosting-Umgebung
Sie können PHPShell temporär installieren und im Server-Dateisystem nachsehen, ob Ihr Server gefährdet ist. (benötigt einige Kommandozeilenkenntnisse)
Eine weitere gute Lösung und mein persönlicher Favorit (insbesondere bei der Entwicklung von Code, der möglicherweise nicht unter meiner strengen .htaccess-Kontrolle bleibt) ist die Sicherung der eigentlichen INI-Datei. Dank einer freundlichen Seele hier - Benutzerhinweise: pd bei eingefrorenen Bits dot de , Was ich mache ist:
%Vor%my.ini.php beginnt mit:
%Vor%Funktioniert perfekt! Greifen Sie direkt auf die Datei zu, und alles, was Sie sehen, ist ';' und Es handelt sich um eine gültige, analysierbare INI-Datei. Was ist nicht zu mögen:)
Einige Anmerkungen zur tatsächlichen Implementierung (Entschuldigung, wenn dies als "Overshare" gilt, aber vielleicht einige Zeit sparen):
;*/ . Es funktioniert immer noch, wenn Sie es auslassen, aber PHP warnt Sie, dass es wird Upset werden. Sortiert.
Die Datei wird von Apache nicht sichtbar sein. Offensichtlich ist es die beste Option, sie außerhalb des Root-Bereichs Ihrer Site zu platzieren. Wenn Sie das nicht können, ist .htaccess-Dateien (oder ähnliche Direktiven in Ihren Apache-Konfigurationen) ziemlich Ihre einzige Option.