Проблемы защиты
Проблемы защиты
PHP/FI не читает никакие .htaccess файлы, которые могут присутствовать в каталоге. Это означает что если у вас есть файлы, которые защищены с использованием стандартного, основанного на особенности сервера .htaccess контроля доступа, потенциально хакеры могут обойти эту защиту, загружая страницу через PHP/FI.
Имеется пара различных решений для этой проблемы. Самое простое - использовать особенность PATTERN_RESTRICT, находящуюся в php.h. Это позволяет вам определить расширение (или шаблон расширений) файлов, которые можно передавать для анализа PHP/FI. Если у файла другое расширение и кто-либо пытается загружать через PHP/FI, появится сообщение: в доступе отказано.
Другое решение состоит в том, чтобы использовать механизм управления
доступом PHP/FI, чтобы подражать установке контроля доступа, который
определен в вашем .htaccess файле. Хранение этой информации в двух местах
может быть утомительно, хотя и две эти системы не разделяют все те же самые особенности.
Проблема может также быть решена использованием установки прав доступа к файлу. PHP/FI может быть установлен, чтобы выполнить setuid как любой пользователь, которого Вы пожелаете. Затем файлам, которые должны читаться PHP/FI, могут быть установлены соответствующие биты доступа. Для файлов, которые не должны читаться PHP/FI, должны быть установлены владелец с другим идентификатором пользователя и соответственно измененные права доступа.
Содержание раздела