Codeigniter безопасности

Question

Мне было интересно, насколько безопасна установка codeigniter.Поскольку такая информация, как пароли БД и т. Д. Хранится в файлах конфигурации в основной папке приложения, могут ли ее получить хакеры?Я знаю, что вы можете переместить папку приложения в какое-либо место, находящееся за пределами корневого веб-каталога, но безопасно ли это, если вы этого не сделаете?

Кроме того, даже если вы переместили ее в другое место, путь к этомуместо жестко запрограммировано в файле index.php, который остается в корневом веб-каталоге.Я уверен, что есть простое объяснение того, почему это безопасно, но кто-то может мне это объяснить?

Answer 1

Полагаю, это зависит от хакера и типа взлома, который они используют. Если вы спрашиваете, может ли какой-нибудь Джо Шмоу просматривать настройки файла конфигурации из Интернета, то ответ - нет. См. Может ли клиент просматривать исходный код PHP на стороне сервера для получения более подробной информации.

Если вы обеспокоены тем, что хакер взломает ваш сервер для получения такой информации, вы можете потратить некоторое время на расширение или переопределение собственной библиотеки базы данных и добавление некоторого шифрования для информация базы данных, когда вы читаете ее из файла конфигурации. Или, если вы хотите полностью скрыться в конфигурации, вы можете потратить некоторое время на расширение класса Config .

На первый взгляд, CodeIgniter так же безопасен, как и любой другой PHP-фреймворк с точки зрения файлов. Разместите соответствующие правила .htaccess, и веб-сторона должна быть в порядке. Это просто оставляет надлежащую безопасность вашего веб-сервера.

Answer 2

Попробуйте запустить Google Skipfish против вашего приложения.Посмотрите, может ли он понюхать какие-либо ошибки в безопасности.Более вероятный случай - ваше приложение использует переменные $ _GET и $ _POST непосредственно в представлениях, а не среду, которая подвергает ваше приложение некоторым рискам.