Widziałem zalecenia dotyczące przechowywania niektórych lub wszystkich plików php w niektórych miejscach poza katalogiem głównym dokumentów internetowych (nazwa użytkownika/public_html w moim przypadku) z konkretnego powodu ochrony plików php z danymi wrażliwymi. informacje (takie jak połączenie z bazą danych i dane logowania) w przypadku, gdy serwer internetowy czknie i przestanie chronić pliki php i stanie się "widoczny" dla osób z zewnątrz, które wiedzą, gdzie szukać.Przechowywanie plików skryptów poza katalogiem głównym domeny
Wydaje mi się to trochę paranoidalne, ale domyślam się, że ludzie źle się na tym wypalili, więc jestem skłonny iść dalej. Sugestia zazwyczaj ma postać plików włączających w coś takiego jak "../include_files/", więc nie jest bezpośrednio w katalogu głównym dokumentu i nie jest bezpośrednio dostępna dla osób postronnych za pośrednictwem serwera WWW.
Moje pytanie brzmi: czy istnieje znacząca różnica w bezpieczeństwie między tymi sposobami i po prostu umieszczenie katalogu "include_files" w katalogu głównym dokumentu i umieszczenie tam pliku .htaccess (z odpowiednimi wpisami)? Czy umieszczenie pliku .htaccess w pliku "../include_files/" spowoduje znaczną poprawę w tym przypadku? jest tam?
TIA,
Monte
+1 za wskazanie wydajności minusa .htaccess (również jeśli podasz AllowOverride None, Apache nawet nie szuka pliku). Uzgodnione w innych punktach w/dotyczy przechowywania plików z katalogu głównego; konfiguracja zajmuje kilka minut (zwłaszcza z __autoload/spl_autoload_register), więc dlaczego tego nie zrobić? –
Problem polega na tym, że nie można tego zrobić w wielu/najczęściej dzielonych hostach. Nie? – docesam
W moim doświadczeniu hosty udostępnione udostępniają katalog z katalogiem www, który jest ustawiony jako publiczny. –