נניח ויש מערכת ענקית עם מלא קבצים, ולרוב הקבצים המשתמש אינו צריך להגיע באופן ישיר (כלומר שב-URL אסור להיות שמו של הקובץ), אלא יש קובץ ראשי אחד שדרכו המשתמש מגיע לשאר הקבצים (על ידי ביצוע include בתוך הקובץ הראשי שמוביל לקבצים האחרים).

האם זה יהיה רלוונטי לבדוק שהמשתמש לא נכנס לקובץ ספציפי, קובץ כזה שהוא אינו צריך להגיע אליו ?

לדוגמא שאכתוב בראש הקובץ:

קוד PHP:

 if (strstr($_SERVER['REQUEST_URI'],'someFile.php'))
{
 echo 'You are not allowed to enter this file!';
 exit();
} 


וכך אמנע ממנו...

האם זה רלוונטי בכלל כאשר כל הקובץ הזה מכיל סה"כ מחלקה מסויימת?
[עריכה] אם אפשר אבקשם להתייחס גם למקרה אחר, שבו הקובץ לא מכיל מחלקה - אלא מריץ קוד כאשר הקוד לא בתוך פונקציה או מחלקה או כל דבר שיכול למנוע את הרצתו.

אני מאמין שעדיף שלא כי בסה"כ שאתה מאנקלד קבצים אתה לא מאנקלד סתם הם מציגים משהו ולכל אחד יש נתונים שונים וייתכן תהיה שגיאה אם לא יהיו נתונים

מה שעשו במערכת פורומים של phpbb זה לשים קבוע בדף index.php וכל הקבצים שמאונקלדים בודקים אם יש קבוע.

חתימתי העצומה בגודלה הוסרה ע"י השליט הבלתי מעורער שימי, למי שיש בעיה שיפנה אליו.


ד אַל תַּעַן כְּסִיל כְּאִוַּלְתּוֹ פֶּן תִּשְׁוֶה לּוֹ גַם אָתָּה. ה עֲנֵה כְסִיל כְּאִוַּלְתּוֹ פֶּן יִהְיֶה חָכָם בְּעֵינָיו

מה שהראתי זה היה דוגמא, ויש כמה דרכים לבצע זאת כמו שכתבת...

השאלה היא - האם זה בכלל כדאי\צריך לעשות את אחת מהדוגמאות (שאתה הצגת או שאני הצגתי או כל דוגמא אחרת שתיתן את אותה התוצאה) על סמך ניסיונכם?

באמת ישנה אפשרות לסכנה במקרה שאני לא מבצע זאת?

ולא חייב להיות מיוסם בדרך הזאת...
למשל אם יש לך קובץ מסוים שעושה משהוא...
תחשוב מה יקרה אם אני יכנס אליו ישירות...
הבנת?

מה שאתה מדבר עליו על הכניסה דרך GET זה כבר פריצת RFI או LFI...
תלוי איך אתה מיישם את הINCLUDE\REQUIRE...

עצה שלי היא כזאת!
1) בעמוד הINDEX תשתמש במנגנון SWITCH או מנגנון אחר שפורסם פה בפורום...
הקיצר כתיבת מערך אם כל הקבצים שאפשר לפנות אליהם...
ובהתאם לכך לבצא INCLUDE...
אם לא הבנת על מה מדובר אני ירחיב ^^...

2) כל עמוד של מחלקה או משהוא כזה...
אצלי מתחיל בקוד כזה:

קוד PHP:

 if(!isset($includeamod))
{
header('Location: 404 Not Found');
exit();
} 


הקוד הזה פריץ במידה ומופעל REGISTER GLOBALS בשרת ^^
לכן מומלץ להשתמש בDEFINE...
לצערי יש לי כזה בלאגן בקצבים אני לא מוצא את הדרך שבה ישמתי את זה ^^...

אממ אני יגיד לך סתם מה אני עשיתי בממשק ניהול שלי ,חילקתי את הממשק למודולים , זאת אומרת אם יש מודול קטגוריה אז יש תיקיה שנקראת categorys שבתוכה יש את קבצי הadd/edit/delete וכול מה שצריך סטטיסטיקות וכדומה,ואני פונה למודול בצורה הבאה

index.php?module=categorys&act=add

הרעיון הוא שהmodule הוא התיקיה והact הוא הקובץ שאתה מאנקלד ,כמובן שאפשר להרחיב את הרעיון וליישם לגבי סתם אינקולדים של classים פונקציות וכדומה.

אישית הייתי בונה מחלקה שלמה שתדע לדאוג לכול העבודה עם כול הרעיון של אינקלוד קבצים זה יהיה הרבה יותר מסודר.

כל עוד לא תתן לקובץ הרשאות 644 למשל או משהוא כזה...
יהיה אפשר להכנס אליו ישירות...תקנו אותי אם אני טועה...^^...

הבנת את הבעיה?
נגיד יש לך קובץ DB.PHP...
שהוא מחלקה לעבודה עם בסיסי נתונים...
אם אני יכנס אליו ישירות מה יקרה (אם יהיו שגיאות זה תורם להאקר)
הבנת? שלא לדבר על זה שזה באג שמראה על הרמה המקצועית של האתרXD

מקווה שהבנתם...

אני לא ממש מבין אותך מה כבר משתמש יכול לעשות עם קובץ שסה"כ מכיל חיבור למסד נתונים והסיומת שלו היא PHP שום דבר זאת התשובה ,ואגב שהאתר בנוי בצורה חכמה המשתמש ייצטרך לעבוד קשה כדי להגיע לקובץ הזה=]

אם בשרת יש באג SHELL INJECTION
או אפילו גם בלי זה ^^
רק שהאפשרות OPEN_BASE_DIR פתוחה למשל...
ואתה מתאכסן אצל ריסלר...
כל עוד יש לי חשבון אני יכול לראות את כל הקבצים שלך ^^...
שזה הרבה יותר מסוכן מגישה אליהם...

בכל מקרה ע"י הרצת BF אולי אני ישיג את הקבצים מעניין רק מי המשועמם שיעשה את זה מישהוא שבאמת יהיה מעוניין לפרוץ כנראה בכל מחיר...
ויש כאלה...

נתתי דוגמא מאוד פשוטה ^^ ... שבאמת לא מהווה שום סכנה...
אך כיוון שמערכת בוניה מהרבה קבצים יתכן ובאחד הקבצים זה יהיה קריטי למשל...
בכל מקרה סינון כמו זה שכתבתי למעלה מומלץ ואף נעשה למשל בIBHEB גרסא 3...

בגרסא 5 הם פשוט כתבו את כל הדברים בפונקציות ...
ככה שגם אם תגש לקובץ ישירות שום דבר לא ירוץ...
אך תכנות כזה הוא ממש קשה לכן אני ממליץ על הקוד שכתבתי למעלה
(רק להשתמש בDEFINR כמובן)

אשכול שנשאל על אותה שאלה...(בערך)
ליתר דיוק איך ההגנה מתבצאת בIBHEB
http://www.fresh.co.il/vBulletin/showthread.php?t=77122
מומלץ להשתמש בDEFINE במקום במשתנה רגיל...
כיוון שREGISTAR_GLOBLAS מופעל גורם לשיטה הזאת להיות פגועה ^^...

אני עדיין לא מבין לאן אתה חותר גם אם אתה תדע את שמות הקבצים שלי אתה לא תוכל לראות את תכנם גם עם BF ,בכו"א לכותב האשכול רעיון שעלה לי כרגע זה דבר כזה

את האינקלוד תעשה ככה

קוד:

include "db.php?secret=".md5("someSecretWord").;

ובתוך הקובץ המאונקלד תעשה דבר כזה

קוד:

if (!isset($_GET[secret]) || $_GET[secret] != md5("secretWord"))
	header("location: index.php");

כתבתי את זה מהר אני מקווה שאין שגיאות

צודק בקשר לBF אמרתי שאפשר להשתמש בBF
כדי לגלות את הקבצים הקיימים ^^...
תעבור על מה שכתבתי שוב + על הקישור שנתתי...

הרעיון שנתת מאוד חמוד = אהבתי ...
רק אני מעדיף במקום הLOCATION
למשל:

קוד PHP:

 header('Location: 404 Not Found'); 


שיראה לו שהעמוד אינו קיים...

נ.ב בקשר למה שהבאת נראה לי עדיף בתחילת העמוד של הINDEX לכתוב ככה:

קוד PHP:

 $_GET['secret'] = md5('Secret'); 


ואז יהיה אפשר לאנקלד בצורה נורמלית = רגילה...

אבל במקום להשתמש בזה אפשר להשתמש בDEFINE פשוט...
דוגמא:

קוד PHP:

 // בקובץ הINDEX
define('Emanuel_PG1' , true);

// בקובץ המאונקלד
if(!defined('Emanuel_PG1'))
{
    // DO SOMWTHING //
} 


נ.ב יש פונקציה מאוד חמודה (כשעברתי על הנושא עברתי גם עליה)
http://php.net/get_included_files
ולבדוק האם הCOUNT של הקריאה לפונקציה הזאת גדול מ1...
ולכתוב את זה בכל הקבצים המאונקלדים (זה גם רעיון ממש חמוד)...
הפונקציה מחזירה מערך אם כל שמות הקבצים שעשו עליהם INCLUDE\REQUIRE...
עם קראו לקובץ ישירות אז זה יחזיר רק קובץ אחד(הקובץ שקראו לו)

אתם עפים יותר מדיי עם הרעיונות, קבוע יספיק, משתנה זה לא טוב.

ולDCD, זה יכול ליצור לך בעיות אם בדף מסויים אתה מריץ משהו עם נתונים מדף מאנקלד זה ייצור שגיאות ולמרות שזה תלוי איך הדף כתוב זה יכול ליצור גם פירצות אבטחה.

חתימתי העצומה בגודלה הוסרה ע"י השליט הבלתי מעורער שימי, למי שיש בעיה שיפנה אליו.


ד אַל תַּעַן כְּסִיל כְּאִוַּלְתּוֹ פֶּן תִּשְׁוֶה לּוֹ גַם אָתָּה. ה עֲנֵה כְסִיל כְּאִוַּלְתּוֹ פֶּן יִהְיֶה חָכָם בְּעֵינָיו

תודה לכולכם הוספתם לי רעיון.

ציטוט:

במקור נכתב על ידי Nati323 ולDCD, זה יכול ליצור לך בעיות אם בדף מסויים אתה מריץ משהו עם נתונים מדף מאנקלד זה ייצור שגיאות ולמרות שזה תלוי איך הדף כתוב זה יכול ליצור גם פירצות אבטחה.

אילו פריצות? אפשר בבקשה דוגמא שתאיר לי את המצב...? תודה

ציטוט:

במקור נכתב על ידי DCD תודה לכולכם הוספתם לי רעיון. אילו פריצות? אפשר בבקשה דוגמא שתאיר לי את המצב...? תודה

דבר כזה יצור להצגה של הרבה שגיאות...
שכמובן זה כבר לא טוב וסיכוני אבטחה כלשהם...
על סיכונים ממשים... לא יודע אין לי ממש דוגמאות...
אני תמיד אבטחתי את הדפים שלי מכניסה ישירה שלהם...
(אפילו קצת יותר מי זהXD...חחח...)...

פשוט תביא קישור למערכת מסוימת שבנית...
+ כל הקבצים הקיימים...
אני יכנס ויעדכן אותך מה דעתך?XD...

שוב זה תלוי באיך אתה בונה את הדף
אבל אם לדוגמא יש לך שאילתות שבשאילתא קיים משתנה שצריך להגיע מדף מאנקלד, והרגיסטר גלובאלס פועל, אפשר להזריק, אבל שוב הכל תלוי איך בנוי הקובץ, אז כדי להמנע מבעיות פשוט תחסום גישה לשם, אין למשתמשים צורך להיכנס לשם.

חתימתי העצומה בגודלה הוסרה ע"י השליט הבלתי מעורער שימי, למי שיש בעיה שיפנה אליו.


ד אַל תַּעַן כְּסִיל כְּאִוַּלְתּוֹ פֶּן תִּשְׁוֶה לּוֹ גַם אָתָּה. ה עֲנֵה כְסִיל כְּאִוַּלְתּוֹ פֶּן יִהְיֶה חָכָם בְּעֵינָיו

אהא.... אז אני מניח שכיוון שכל הקוד נמצא ב-class, לא אמורות להיווצר בעיות כלשהן.

ציטוט:

פשוט תביא קישור למערכת מסוימת שבנית... + כל הקבצים הקיימים... אני יכנס ויעדכן אותך מה דעתך?XD...

הממ.. אולי בפעם אחרת, תודה בכל זאת

אני כותב תגובה סופית למטה...

הנה רעיון מבריק...

תוציא את כל הקבצים מה webroot למקום שלא נגיש ישירות מבחוץ, ואז תנהל אינקלודים בקובץ אינדקס בלבד, וזהו...

נמאס לכם לזכור סיסמאות? לחצו כאן!

אני לא בקיא בתיקיות ובהרשאות שבשרתי האינטרנט... יש תיקייה ספציפית שלא נגישה למקום מבחוץ?

או שאני צריך ליצור תיקייה כזו בעצמי ואז אני קובע לה הרשאות מתאימות כאשר ההרשאות האלו מיושמות גם על הקבצים\תיקיות שבתוך התיקייה?

לכן אני השתמשתי בהגדרות של קבוע...
(שימוש בget_included_files גם מאוד חמוד)

בכל מקרה שימי נשמח שתסביר ותרחיב יותר על WEBROOT וכו'...
קישור על המידע הזה גם לא יזיק...

כל ספריה מעל ספרית השורש של האתר שלך לא נגישה ישירות מהאתר שלך באופן טבעי...

אין הרבה לדעת חוץ מזה

יש אתרים שמאפשרים לך להעלות קבצים רק לספריית השורש של האתר שלך. יש אתרים שמאפשרים גם לספריות מעל, ואז אפשר להשתמש בהם.

אם ספק האירוח לא נותן את המינימום של ספריות שלא נגישות מה web... אני הייתי מחליף ספק אירוח

נמאס לכם לזכור סיסמאות? לחצו כאן!

כנראה שבסוף מה שאעשה זה הגדרת קבוע מסויים בקובץ המאנקלד הראשי ובכל קובץ מאונקלד אבדוק אם הקבוע הזה קיים, ובהתאם אבצע מה שארצה.

לדוגמא:

קוד PHP:

 if (defined('CONSTANT'))
{
  ... // throw him out
} 


בעזרת הפונקציה defined לא יכולה להופיע שגיאה וגם זה יימנע ממנו לראות מידע על הקובץ.

חשבתי להחליף במקום האפשרות הנ"ל, את זאת שבה אכתוב קוד שיאנקלד קובץ אחר, כמו:

קוד PHP:

 include_once 'errorTheUser.php'; 


ואז תוכנו של הקובץ יהיה לדוגמא:

קוד PHP:

 /* @File: errorTheUser.php */
if (defined('CONSTANT'))
{
  header('Location: www.foo.com');
} 


כך אוכל לשנות את השגיאה שאציג למשתמש בקלות במקום שיהיה צורך לערוך כל קובץ מחדש, במידה ונרצה להראות שגיאה אחרת.
באותו אופן אפשר יהיה לשנות את תוכנו של הקובץ errorTheUser.php לזה (כפי שהציג emanuel):

קוד PHP:

 /* @File: errorTheUser.php */
if (defined('CONSTANT'))
{
  header('Location: 404 Not Found');  
} 


ע"י עריכת קובץ אחד בלבד, פעם אחת בלבד, שזה יותר קל ונוח...

אני מניח שהקבצים המאונקלדים יתקמפלו גם טוב יותר ללא הוספות של פקודות\פונקציות של header או אחרות.

פתחתי את האשכול בעיקר בגלל שחשבתי שאולי יש פיתרון אחר (וטוב יותר) לנושא, כי ראיתי פיתרון דומה למה שהציגו פה בתגובות בקבצי המערכת IPB (גירסא 1.3).

תודה לכולם