Toon posts:

[PHP] Source code van config.files encrypten

Pagina: 1
Acties:

Onderwerpen

Php

woensdag 16 juli 2003 09:53

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
OK

Effe uitleg

Op mijn website staan de gegevens van host/user/pass in config.php
als je naar de url http://mijnwebsite/config.php surft, dan kan je natuurlijk onder View/Source de source gaan bekijken en zijn mijn gegevens zichtbaar...

Hoe kan ik dit beveiligen ?

Kan ik dit encrypten ? En zoja, hoe ?

Ik heb ondertussen csource.php geprobeerd (hotscripts) maar die werkt niet.
Daar krijg ik volgende error : Fatal error: Cannot redeclare _fwk_filter_encrypt() (previously declared in /home/sites/site156/web/csource.php:11) in /home/sites/site156/web/csource.php on line 11


Wie helpt ?

woensdag 16 juli 2003 09:56

Acties:
  • 0 Henk 'm!
  • Bosmonster
  • Registratie: Juni 2001
  • Laatst online: 12:54

Bosmonster

*zucht*

.config.php -> niet zichtbaar

Maar beter:

Zet het een niveau onder je web-root ;)
Op mijn website staan de gegevens van host/user/pass in config.php
als je naar de url http://mijnwebsite/config.php surft, dan kan je natuurlijk onder View/Source de source gaan bekijken en zijn mijn gegevens zichtbaar...
Als je config gewoon PHP is zal een gebruiker zelfs dan nog niks kunnen zien ;)

Desnoods zet je je configfile in een php-comment.

Mogelijkheden genoeg! :D

[ Voor 74% gewijzigd door Bosmonster op 16-07-2003 09:57 ]

woensdag 16 juli 2003 09:58

Acties:
  • 0 Henk 'm!
  • samo
  • Registratie: Juni 2003
  • Laatst online: 14:55

samo

yo/wassup

php code is niet te zien onder view source maar alleen de html output
dat moet je al iets geruster maken

maar het is sowiezo wel aan te raden een niet te voor de hand liggende naam te nemen....
iedereen kan bedenken config.php te openen en van daar uit verder werken (evt includen vanuit een ander bestand). Dus zet het in een andere dir.
Vergeet geen index.php in die dir te zetten, anders ziet iedereen het bestand ook.

[ Voor 61% gewijzigd door samo op 16-07-2003 09:59 ]

Bekend van cmns.nl | ArneCoomans.nl | Het kindertehuis van mijn pa in Ghana

woensdag 16 juli 2003 09:59

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Ik twijfel hieraan hoor ...

't is zo da ik op mijn eerste pagina (index.php) een include doe van config.php
als ik nu surf naar die config.php, en ik doe View/Source dan zie ik wel degelijk die code hoor ...

woensdag 16 juli 2003 10:00

Acties:
  • 0 Henk 'm!
  • samo
  • Registratie: Juni 2003
  • Laatst online: 14:55

samo

yo/wassup

heb jij veel html in je config.php staan? is dit wel een php en wordt deze wel geparsed als php?

Bekend van cmns.nl | ArneCoomans.nl | Het kindertehuis van mijn pa in Ghana

woensdag 16 juli 2003 10:02

Acties:
  • 0 Henk 'm!
  • LuCarD
  • Registratie: Januari 2000
  • Niet online

LuCarD

Certified BUFH

Verwijderd schreef op 16 July 2003 @ 09:59:
Ik twijfel hieraan hoor ...

't is zo da ik op mijn eerste pagina (index.php) een include doe van config.php
als ik nu surf naar die config.php, en ik doe View/Source dan zie ik wel degelijk die code hoor ...
Dan klopt er iets niet aan de configuratie of aan het bestand. Aangezien normaal met een goed configureerde server je geen PHP clientside (via http) kan bekijken.

Wat zie je al "view source" doet bij de index.php, zie je dan ook PHP code?

Programmer - an organism that turns coffee into software.

woensdag 16 juli 2003 10:11

Acties:
  • 0 Henk 'm!
  • klinz
  • Registratie: Maart 2002
  • Laatst online: 17-09 15:24

klinz

weet van NIETS

Verwijderd schreef op 16 July 2003 @ 09:59:
Ik twijfel hieraan hoor ...

't is zo da ik op mijn eerste pagina (index.php) een include doe van config.php
als ik nu surf naar die config.php, en ik doe View/Source dan zie ik wel degelijk die code hoor ...
Dan zal je dit na vercrypting ook nog zien. De werking van het PHP bestand zal immers niet anders worden. De uitgespuugde HTML code blijft hetzelfde. Wat voor loginsysteem is het?

woensdag 16 juli 2003 10:30

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
OK dat probleem is opgelost, bedankt samo-arne en anderen, inderdaad mijn file werd niet geparsd als php.

Nu heb ik nog een tweede vraag.

Kan ik php-bestanden beveiligen zodat men die niet kan downloaden ?

woensdag 16 juli 2003 10:32

Acties:
  • 0 Henk 'm!
  • cybermans
  • Registratie: Maart 2001
  • Laatst online: 17-09 09:56

cybermans

als je alle waardes in variablen zet en die niet echo't kan niemand wat zien. en htpasswd files kan je ook buiten je webroot plaatsen zodat ze helemaal niet leesbaar zijn van buitenaf.

Strava | Runkeeper | Endomondo (mijn leikr uploads)

woensdag 16 juli 2003 10:33

Acties:
  • 0 Henk 'm!
  • samo
  • Registratie: Juni 2003
  • Laatst online: 14:55

samo

yo/wassup

men kan deze al niet downloaden tenzij ze ftp toegang hebben...
verder als zij downloaden krijgen ze alleen de output, dus de html...
php wordt op de server geparsed voor het versturen, dus normaal kunnen zij het niet downloaden.
includen vanuit een ander domein gaat voor zo ver ik weet ook niet omdat dit met absolute paths werkt (dus file:// i.p.v. http url's). je bestand is dus redelijk veilig...
misschien andere tip:
sla user name en password niet op in het zelfde bestand

Bekend van cmns.nl | ArneCoomans.nl | Het kindertehuis van mijn pa in Ghana

woensdag 16 juli 2003 10:33

Acties:
  • 0 Henk 'm!
  • simon
  • Registratie: Maart 2002
  • Laatst online: 11:40

simon

Verwijderd schreef op 16 juli 2003 @ 10:30:
OK dat probleem is opgelost, bedankt samo-arne en anderen, inderdaad mijn file werd niet geparsd als php.

Nu heb ik nog een tweede vraag.

Kan ik php-bestanden beveiligen zodat men die niet kan downloaden ?
het gebeurt eigenlijk al bij default, apache stuurt van php alleen de output terug, en niet de source :)

Als je het toch niet helemaal 'visable' wil maken: http://www.zend.com/store/products/zend-encoder.php :)

[ Voor 12% gewijzigd door simon op 16-07-2003 10:36 ]

|>

woensdag 16 juli 2003 10:40

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
OK Thanks mannen

Voor mij mag dit topic closed :)

woensdag 16 juli 2003 10:58

Acties:
  • 0 Henk 'm!

Verwijderd

Mocht je nou echt niet willen dat andere met toegang op de server bij je bestanden kunnen, kun je denken aan Zend Encoder. Deze is dmv het Small-Business Program al voor 295 dollar aan te schaffen (incl Studio en Optimizer).
je kunt dan aangeven dat hij alleen werkt met door dezelfde encoder geencodeerde files.

Misschien is dit overkill, maar als je een goed lopende site draait op een shared hosting server is het geen slechte investering.

[ Voor 18% gewijzigd door Verwijderd op 16-07-2003 10:58 ]

woensdag 16 juli 2003 15:39

Acties:
  • 0 Henk 'm!
  • angl2k
  • Registratie: Maart 2001
  • Laatst online: 17-12-2024

angl2k

PHP:
1
2
3

if(basename($_SERVER["PHP_SELF"]) == "config.php")  {
    die("No sniffing around");
}


extra check die ervoor zorgt dat geen enkele code wordt aangeroepen (denk aan een delete.php functie ofzo)

[ Voor 11% gewijzigd door angl2k op 16-07-2003 15:46 ]

woensdag 16 juli 2003 15:53

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Angl2k --> Wat doet dit juist en in welk bestand moet dit ???

woensdag 16 juli 2003 16:00

Acties:
  • 0 Henk 'm!
  • angl2k
  • Registratie: Maart 2001
  • Laatst online: 17-12-2024

angl2k

plaatsen in je config.php bovenaan

dit zorgt ervoor dat config.php niet zelf direct aangeroepen kan worden, maar wel gewoon geinclude kan worden

woensdag 16 juli 2003 16:17

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Thanks Angl2k, I'll try :)

woensdag 16 juli 2003 17:12

Acties:
  • 0 Henk 'm!

Verwijderd

Topicstarter
Da werkt super :)
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq