|
| |
|
|
| |
для: glsv (Дизайнер)
(11.08.2006 в 06:04)
| | | Да, я пробовал кодировать через 64 битовое кодирование, сохраняя код в базе.
А потом при закачке декодировал путь в нормальный, но не выпускал его за пределы скрипта, что делает более неуязвимым сам файл.
Спасибо всем, что поддержали тему, на душе отлегло: хоть продажу сделал :-) | |
| |
|
|
| |
|
|
| |
для: Николай Законов
(10.08.2006 в 18:25)
| | | >Я точно так и подумал сначала:
>Я же сделал так:
Я имел ввиду, что лучше совместить оба этих способа
В принципе, того что Вы сделали хватит. Но есть такое соображение: Если данные коммерчески ценные, то злоумышленник может поставить себе задачу украсть файлы и будет искать лазейки.
Предположим, что он найдет дыру в другом подобном скрипте (вдруг такой существует или появится в дальнейшем) и сможет через него закачать файл (путь к нему он уже знает). Если же он не знает местоположение файла, то и задача злоумышленнику осложняется. | |
| |
|
|
| |
|
|
| |
для: cheops
(11.08.2006 в 00:38)
| | | Спасибо. | |
| |
|
|
|
| |
|
|
| |
для: cheops
(10.08.2006 в 18:31)
| | | Товарищи, а раскажите поподробней про заголовки скрипта (ов). | |
| |
|
|
| |
|
|
| |
для: Николай Законов
(10.08.2006 в 18:25)
| | | Вы поступили правильно, я бы тоже так делал. | |
| |
|
|
| |
|
|
| |
для: glsv
(10.08.2006 в 11:48)
| | | Я точно так и подумал сначала: копировать а потом удалять из временной директории.
Я же сделал так:
- закрыл доступ к папке "Deny from all", и теперь никак туда не пробиться.
- установил заголовки в скрипте download.php и только он может брать файлы теперь.
Может я упустил чего, может дыра еще существует? Если есть соображения, то жду... | |
| |
|
|
| |
автор: glsv (10.08.2006 в 11:48) |
|
| |
для: Николай Законов
(10.08.2006 в 09:50)
| | | >А эти вышеуказанные заголовки позвляют скачивать файл только средствами скрипта.
В плане защиты здесь дело, скорее, не в заголовках, а в функции readfile($file);
Заголовки только для того, чтобы браузер корректно сохранил файл. | |
| |
|
|
| |
автор: glsv (10.08.2006 в 11:46) |
|
| |
для: Николай Законов
(10.08.2006 в 09:50)
| | | Хм... только раз файлы отдаете через скрипт лучше спрячьте пути к файлу - они же, как я понимаю, свободны для просмотра посетителем (пути). Например, пути храните в базе. При попытке санкционированной попытке скачать файл копируете его во временную директорию и уже из этой директории отдаете пользователю. После загрузки через некоторое время удаляете файл из временной директории.
Это имеет смысл делать если файлы собираетесь за деньги продавать. | |
| |
|
|
| |
|
|
| |
для: Igorel
(10.08.2006 в 00:36)
| | | Т.е. закрыв доступ к папке с файлами средствами CHMOD или .htaccess мы не допускаем к ним всех посторонних. А эти вышеуказанные заголовки позвляют скачивать файл только средствами скрипта.
А там уж сам решай за что предоставлять доступ: за деньги, за услуги, за те же файлы. | |
| |
|
|
|
