Question

Я понимаю, что обычно предлагается, чтобы документы, такие как загруженные пользователем файлы, хранились ниже корневого веб-каталога. Однако если документы хранятся в папке в public_html, а htaccess настроен на блокировку просмотра папок, а имя файла загруженного файла, скажем, длинная случайно сгенерированная строка, как кто-то сможет получить доступ к этому файлу без разрешения в любом случае?

deceze · Answer 1 · 20 марта 2019

Да, если веб-сервер не разрешает публичный доступ по конфигурации, тогда никто не сможет получить доступ к файлам. Однако запрет доступа по конфигурации более хрупок, чем просто отсутствие файлов. Всегда может случиться, что неосторожный администратор неверно настроит сервер и внезапно разрешит доступ к этим файлам, что просто не проблема, если вы сначала не подпускаете файлы к корню. Возможно, у вас также есть вторичная уязвимость, в которой кто-то может изменить ваши файлы .htaccess, тем самым пропуская себя через черный ход. Опять же, не проблема, если файлов просто нет вообще.

Безопасно ли хранить документы в public_html, если htaccess не позволяет просматривать папки?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Безопасно ли хранить документы в public_html, если htaccess не позволяет просматривать папки?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы