|
Защита директории с аватарами - .htaccess ?Обсуждение темы Защита директории с аватарами - .htaccess ? в разделе Безопасность, часть категории ВЕБ-ПРОГРАММИРОВАНИЕ; Доброе время суток все. Задача: закрыть папку (chmod 777) в которую загружаются аватарки пользователей. (также хочу данный .htaccess применить к папкам с шаблонами, ... |
|
Опции темы |
12.07.2009, 22:50 | #1 |
|
Доброе время суток все.
Задача: закрыть папку (chmod 777) в которую загружаются аватарки пользователей. (также хочу данный .htaccess применить к папкам с шаблонами, фотками, аттачей и пр) Почти целую неделю лазил и выяснял какой необходим .htaccess. К точному занаменателю не пришел. Составил сборку директив в тестовом .htaccess Но есть подозрения что есть дубли. Что-то может пойти не так и станет еще хуже (по безопасности) Привожу ниже код .htaccess с добавленными детективами. Подскажите пожалуйста что в нем лишнее / что продублировано / что лучше улучшить? Код:
# запрет листинга всех папок и под-папок Options -Indexes php_flag engine 0 AddType "text/html" .php .cgi .pl .fcgi .fpl .phtml .shtml .php2 .php3 .php4 .php5 .asp .jsp # Отключаем PHP. RemoveType php <IfModule mod_php4.c> php_flag engine 0 </IfModule> <IfModule mod_php5.c> php_flag engine 0 </IfModule> # запрет на запуск файлов RemoveHandler .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml AddType application/x-httpd-php-source .phtml .php .php3 .php4 .php5 .php6 .phps .cgi .exe .pl .asp .aspx .shtml .shtm .fcgi .fpl .jsp .htm .html .wml # запрет доступа к файлам Order Deny, Allow Deny from all 1. в папке с аватарками еще лежит пустой index.html 2. столько много "методов защит" - парайноя беспокоит 3. не оставил только Deny from all потому как слышал что хакерский скрипт может из другой папки "запустить" зараженную аватарку 4. расширения указанные в качестве запрета могут быть изменены (или немного не считаться) Небольшие дополнения 1. нашел вот еще такую "заплатку" - стоит ли ее добавить в .htaccess Код:
<FilesMatch ".*"> Order allow,deny Deny from all <FilesMatch "\.(список_легетимных_расширений через |)$|^$"> Order deny,allow Allow from all Код:
Options None Options +FollowSymLinks |
|
12.07.2009, 23:59 | #2 |
|
Чего вы хотите добиться в итоге?
Добавлено через 59 секунд php_flag engine 0 у вас повторяется три раза. Вы хотите создать универсальный .htaccess, или под конкретный сайт? Последний раз редактировалось kost; 12.07.2009 в 23:59.. Причина: Добавлено сообщение |
|
13.07.2009, 19:38 | #3 |
|
- возможно - просто я в этом не силен. подскажите пожалуйста что лишнее?
- нечто универсальное, часть, для закрытия папок с аттачми и папок с chmod 777 Последний раз редактировалось blacks; 13.07.2009 в 19:42.. |
|
13.07.2009, 21:46 | #4 |
|
Что значит "для закрытия"? Последнее правило в вашем .htaccess закрывает директорию полностью для доступа из веб, файлы из не вы вообще не увидите.
Читайте документацию, и вот эту заметку на Хабре: http://habrahabr.ru/blogs/php/61842/ Последний раз редактировалось kost; 13.07.2009 в 21:59.. |
|
13.07.2009, 21:51 | #5 | |
|
Цитата:
С дублями в примере не поможете? |
|
|
13.07.2009, 22:40 | #6 |
|
Сначала разберитесь, что делает это:
Код:
# запрет доступа к файлам Order Deny, Allow Deny from all Добавлено через 18 секунд http://www.iho.ru/faq/manual/htaccess.html Последний раз редактировалось kost; 13.07.2009 в 22:40.. Причина: Добавлено сообщение |
|
15.07.2009, 19:22 | #7 |
|
Развратили людишек.
Они больше не просто не желают думать головой — они даже не знают, что это возможно. Пошёл плакать. |
|
17.07.2009, 01:27 | #8 |
|
Плакать не нада
Просто работая одиночкой и делая серьезные (с моей точки зрения) сайты разбираюсь в типографской верстке, веб дизайн, полиграфия, промоушен-реклама, веб верстка, сеошка - на все просто нет времени. и думать о "занудной защите" просто нет времени. Что в силах понять и на что есть время то и делаю |
|
17.07.2009, 18:19 | #9 |
|
К сожалению, вы ещё и в том, в чём пытаетесь разобраться, не разбираетесь совершенно.
|
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Запуск perl-скриптов в /cgi-bin - директории | handler | ASP, Perl, PHP и MySQL | 1 | 29.04.2010 17:43 |
Закрыть просмотр содержания директории через htaccess | andrei_a | ASP, Perl, PHP и MySQL | 3 | 03.05.2007 14:31 |
Защита ActionScript | andrey61 | Технологии Flash | 1 | 12.02.2006 22:58 |
Защита файла | Леха | HTML, CSS, JavaScript | 7 | 08.08.2005 00:02 |
Тупость с аватарами | kost | Книга жалоб и предложений | 7 | 03.11.2003 17:45 |
Реклама на форуме
Условия размещения рекламы
Биржа ссылок
Заработай на сайте!
|