سلام
این سوالو برای این پرسیدم که امنیت فایلهای php ای که روی هاست های من قرار میگیرن رو بالا ببرم..
خواستم بدونم با چه روشهایی میشه ، محتویات (سورس) یک فایل php ای که در هاست من قرار داده رو دید؟
هر کی هر چی میدونه بگه
متشکر

فایل های پی اچ پی فقط نتایج رو نشون میدن نه خود کد رو ... اگه میشد این کارو کرد که دیگه الان نباید سایتی روی نت باشه که هک نشده باشه

php یک زبان سمت سرور هست یعنی امکان مشاهده سورس فایل توسط کاربر معمولی وجود نداره

و برای مشاهده حتما باید به هاست روت شد ....

امنیت php بر می گرده به نحوه کد نویسی شمای برنامه نویس....

بنابراین یاد گرفتن کد نویسی استاندارد در این زبان به شدت توصیه میشه....

منظور دقیقم میدونید چیه؟
منظورم به بخشی از کدها بر میگرده که تووش داریم مشخصات اتصال به پایگاه داده رو میذاریم..
توی وردپرس من دیدم که یه کد رمزنگاری شده هم میذاره که از اون هم استفاده میکنه ..
میخوام یه طوری نشه که مثلاً توی یه فایلی به نام connection.php اطلاعات مربوط به تماس با پایگاه داده رو قرار میدم ، این فایل براحتی در دسترس دیگران قرار بگیره..
خیلی خیلی ممنون میشم که راه های مشاهده ی محتوی این فایل php رو بفرمایید.. و اینکه بگید چطور میتونم از این تکه کدی که در این فایل php نوشته میشه محافظت کنم؟

خوب شما می تونید اطلاعات مربوط به این نوع فایل ها رو همونجور که خودتون هم گفتید به صورت کد شده ذخیره کنید ...
همین وردپرس هم برای ذخیره پسورد از MD5 استفاده می کنه که البه روش های زیادی برای کد کردن و جود داره ...یکمی سرچ کنی نتایج خیلی خوبی بدست میاری

راستی برای این نوع فایل ها باید دسترسی رو کاهش بدین

قبلا یک سایتی رو آنالیز می کردم برای مشتری دیدم تمام فایل های این نوع رو اومده و پرمیشن 777 داده بهشون که این خودش بزرگترین کار اشتباهی است که میشه انجام داد

بهترین سطح دسترسی برای این فایلها چیه؟
و اینکه در مورد سطح دسترسی یوزری که باهاش به دیتابیس متصل میشیم هم یه توضیح بفرمایید که چطور تنظیمش کنم (چه گزینه هایی رو تیک بزنم) تا فقط و فقط با این یوزر بشه اطلاعات رو از بانک خوند و هیچ کار دیگه ای هم نشه باهاش کرد
متشکر از توجه تون

پرمیشن 644 مناسب هست

قسمت دوم سوالتون هم باید بگم بستگی داره به کارهایی که با یوزر می خواین انجام بدین (مثلا فقط درج و یا حذف و..)

سلام.
برا درج چه پرمیشنی باید گذاشت؟
برای حذف؟
برای اپدیت؟

قسمت دوم سوالتون هم باید بگم بستگی داره به کارهایی که با یوزر می خواین انجام بدین (مثلا فقط درج و یا حذف و..)
خب من که گفتم خدمتتون، میخوام فقط اطلاعات از بانک خونده بشه و فقط و فقط همین و بس!
ممنون میشم راهنمایی بفرمایید
متشکرم

خب من که گفتم خدمتتون، میخوام فقط اطلاعات از بانک خونده بشه و فقط و فقط همین و بس!
ممنون میشم راهنمایی بفرمایید
متشکرم
فایل کانکت به دیتابیست باید 400 باشه پرمیشنش.که فقط بشه خوندش

سلام
در کنار توضیحات دوستان من این رو هم اضافه کنم که اگه شما این سوال رو از روی عدم آشنایی با بحث زبان های سمت کاربر و سرور پرسیدین که دوستان بالا توضیح دادن
اما اگه از روی امنیت فایل ها و کد ها میپرسین باید عرض کنم ما حملاتی داریم به نام SCD یا همون افشای کد منبع (Source code Discluser) که هکر با این حفره اقدام به دانلود فایل های روی هاست میکنه که در دانلودر ها پتانسیل این باگ وجود داره
و یا اینکه طرف بتونه با حفره های RFI , RCE از هاست شل بگیره و فایل ها رو برداره که با پرمیشن بندی صحیح که دوستان توضیح دادن میشه یکم کار رو برای هکر سخت تر کرد

ممنون از همه دوستان
دو تا مشکل هست:
۱. ۴۰۰ نمیشه تنظیم کرد و ۶۰۰ آخرشه .. (البته فکر میکنم به خاطر این باشه که از خود کنترل پنل سایت هاست اینکارو انجام نمیدم و با برنامه اف تی پی این کارو میکنم) به هر حال اگر فکر میکنید حرفم اشتباه ست ، راهنمایی بفرمایید.
۲. مورد دوم اینکه من دو ساعته دارم میگم تنظیم این بخش برای یوزری که به دیتابیس متصل میشه رو چطور بذاریم که فقط و فقط بتونیم اطلاعات رو از دیتابیس بخونیم و نمایش بدیم . به هیچ وجه نمیخوام توی دیتابیس بنویسم و یا حذف کنم و یا آپدیت کنم با این یوزر..
عکس اون بخش هم میفرستم براتون تا ببینید کدوم بخش رو میگم:
http://uploadtak.com/images/s9223_9202013_11.png

ممنون میشم راهنمایی بفرمائید

ما حملاتی داریم به نام SCD یا همون افشای کد منبع (Source code Discluser) که هکر با این حفره اقدام به دانلود فایل های روی هاست میکنه که در دانلودر ها پتانسیل این باگ وجود داره
چه نرم افزارهایی اینکارو میکنن به طور حرفه ای؟ ظاهرا کار خودتونم همین باید باشه!
و اینکه چه دانلودرهایی این باگ رو دارن؟

نرم افزاری برای حمله وجود نداره شما با استفاده از اسکریپتی که برای دانلودر هست باگ رو اکسپلویت میکنید و فایل هارو میکشید بیرون
و اینکه چه دانلودر هایی این باگ رو دارن باید عرض کنم خب هر دانلودری که باگ داشته باشه :)

برای اینکه بتونی فقط بخونی و نمایش بدی فقط تیک مربوط به SELECT رو بزار.و بقیه رو از حالت انتخاب خارج کن

نرم افزاری برای حمله وجود نداره شما با استفاده از اسکریپتی که برای دانلودر هست باگ رو اکسپلویت میکنید و فایل هارو میکشید بیرون
و اینکه چه دانلودر هایی این باگ رو دارن باید عرض کنم خب هر دانلودری که باگ داشته باشه :)

هر چند نمیخوام اینکارو کنم ولی باز هم ممنونم ، کار خیلی بدی هست ، یه وقتی با سایتهای ما اینکارها رو نکنید ، یا اگر کردید لااقل بگید چطور کنیم تا این اتفاق توسط شخص دیگه ای نیافته

متشکرم

سلام
میشه برای بانک اطلاعات دو تا یوزر ساخت و از یک یوزر با سطح دسترسی بالاتر ، در فایلهای cms استفاده کرد تا بتونیم اطلاعات رو در بانک وارد کنیم و ازش بخونیم و یا ویرایش و حذفش کنیم..
و یک یوزر دیگه ساخت که در صفحات اصلی سایت که اطلاعات به کاربران نمایش داده میشه ازش استفاده کرد و فقط به جهت select کردن از بانک؟ (یعنی سطح دسترسی این یوزر فقط و فقط در حد select باشه)!
سوال دیگه ای که پیش میاد اینه که آیا این روش در بهتر شدن امنیت سایت مؤثر هست؟ و اگر مؤثره، مثلا از ۱۰۰، تاثیر گذاریش به چه میزانی هست؟!
مورد دیگه اینکه سطح دسترسی یوزری که قصد اینسرت ، آپدیت ، دلیت در بانک اطلاعات رو داره چطور تنظیم بشه کافیه؟ منظورم اینه که موقع تعیین یوزر برای یک بانک اطلاعات، در این مورد خاصی که گفتم، چه تیکهایی زده بشه کافیه برای این کار؟ (اگه میشه در مورد این تیکها یه توضیحی بدین که مربوط به چی میشن دقیقاً)
ظاهراً با اینطور بشه و هنوز امتحان نکردم ولی خب سوالو مطرح کردم تا دوستانی که تجربه کافی دارن بهتر پاسخ بدن تا ما از اتلاف وقت جلوگیری کرده باشیم
سه تا سوال پرسیدم انشاء الله جواب هر سه تا رو درست بدید
متشکرم