[ _SASA_ @ 30.06.2006. 09:42 ] @
|
| Dobar dan,
PRVO: Ja ne bavim programiranjem u PHP-u, radim kao C++ programer pod Solarisom, tako da nisam sa PHP-om na ti, pa se ispricavam svima kojim ce ovo pitanje biti glupo.
DRUGO: Ovo pitanje postavljam jer me je prijatelj zamolio da pregledam jedan njegov site koji je pisam pod PHP-om, da vidim koliko je siguran, naravno ja nisam strucnjak za tu temu ali se razumjem u osnove.
PITANJE: Zanima me sljedece. Postoji stranica www.nesto.com, u direktoriju www.nesto.com/php se nalazi PHP code, ja znam da normalni ljudi bi u svaki direktori stavili praznu index.html stranicu tako da se ne izlista sadrzaj direktorija, naravno njegov site ni to nema, nego se sve PHP datoteke izlistaju, naravno ja znam da ako osoba klikne na nesto.php file, njoj se iz preglednika nece vratiti source code jer se svi *php filovi dalju u PHP procesor koji ih obradi i samo salje rezultat.
Mene sada zanima da li ima neki program ili fierfox extenzija koja bi to omogucila, jer me znaima da li se moze vidjeti PHP code ako osoba zna gdje se nalazi taj file, naravno ja ne mislim ako osoba ima pristup FTP-u pa onda preko njega skine code.
HVALA SVIMA. |
[ sosingus @ 30.06.2006. 09:59 ] @
Koliko znam nepostoji. PHP su server-side skripte i ni u kom slucaju se ne mogu svuci na klijent osim putem ftp prenosa.
[ Nemanja Avramović @ 30.06.2006. 10:38 ] @
Ne može. Jedino FTP ili ako ima neku lošu (download) skriptu koja bi "slučajno" pustila php fajl za download. Direktnim skidanjem (save as..) ne može da se vidi php kod.
[ jablan @ 30.06.2006. 10:43 ] @
Potencijalni problem kod tvog prijatelja može biti eventualno neki zaostali php fajl koji služi za setup - većina veb aplikacija ima takav fajl koji pokreneš prvi put da bi ti kreirao i napunio bazu, podesio konfiguracione fajlove itd. Ovi fajlovi se obično brišu posle instalacije, ali ako to slučajno nije urađeno, a neko vidi da taj fajl postoji u listi fajlova, može da napravi sr*nje.
Inače nije problem. Sadržaj PHP fajlova nikako ne možeš videti preko HTTP-a (osim ako se nešto zezne veb server pa se isključi procesiranje PHP-a).
[ bzero @ 30.06.2006. 11:05 ] @
Moze da postoji eventualno jos jedan problem. Vidjao sam (mada retko) da neki ljudi imaju obicaj da php fajlove koje inkluduju nazivaju functions.inc, vars.inc ili slicno. Ovo moze da bude velik problem jer ce server po difoltu prikazivati neprocesirani sadrzaj ovih fajlova, znaci cist kod. Zato treba svi php fajlovi i da imaju extenziju php (functions.inc.php i sl.).
[ Radovan__III @ 30.06.2006. 13:01 ] @
Citat:
bzero: Moze da postoji eventualno jos jedan problem. Vidjao sam (mada retko) da neki ljudi imaju obicaj da php fajlove koje inkluduju nazivaju functions.inc, vars.inc ili slicno. Ovo moze da bude velik problem jer ce server po difoltu prikazivati neprocesirani sadrzaj ovih fajlova, znaci cist kod. Zato treba svi php fajlovi i da imaju extenziju php (functions.inc.php i sl.).
Ovo je poznata fora bila za hakovanje preko googla, samo pretrazis inc fajlove sa recju pass ili username ....
[ Jezdimir Lončar @ 30.06.2006. 16:30 ] @
Citat:
Ovo je poznata fora bila za hakovanje preko googla, samo pretrazis inc fajlove sa recju pass ili username ....
Hehehe.... To je stvarno jako... lol!
[ MilanMilan @ 03.07.2006. 12:29 ] @
to spada u domen hakovanja zbog neznanja. jednostavno, svakom fajlu koji inkludujes stavis dozvole 600 i nema problema.
Copyright (C) 2001-2025 by www.elitesecurity.org. All rights reserved.