|
| |
автор: Тень& (03.02.2010 в 21:00) |
|
| |
для: Trianon
(02.02.2010 в 18:40)
| | | Ответ Loki (его пост был удалён): кстати, у Smarty же скомпилированный код сохраняется в определённой директории (templates_c по умолчанию) с правами записи в них. По-моему, это гораздо опаснее приведённого ТС-ом кода. | |
| |
|
|
| |
|
|
| |
для: DEM
(03.02.2010 в 03:25)
| | | >Скажите, я вот делаю так:
>У меня на сайте есть много модулей (ясное дело, тоже неизвестно какие). К примеру пользователь заходит по адресу http://site.ru/index.php?modules=news . В скрипте (индексном) у меня стоит проверка, если `modules` не пуста, то зайти в таблицу `modules` и поискать там запись с названием `news`, если такая есть - подгрузить индексный файл из папки указанной в этой записи.
Но ведь с таблицей-то Вы сверяетесь?
Несколько иной коленкор, выходит, не так ли?
>Так правильно и безопасно?
Это уж Вам решать. | |
| |
|
|
| |
|
|
| |
для: Trianon
(02.02.2010 в 18:43)
| | | Скажите, я вот делаю так:
У меня на сайте есть много модулей (ясное дело, тоже неизвестно какие). К примеру пользователь заходит по адресу http://site.ru/index.php?modules=news . В скрипте (индексном) у меня стоит проверка, если `modules` не пуста, то зайти в таблицу `modules` и поискать там запись с названием `news`, если такая есть - подгрузить индексный файл из папки указанной в этой записи.
Так правильно и безопасно? (только никаких проверок констант в этих файлах нету, ну только $_GET['modules'] проверяется, ясное дело :) ) | |
| |
|
|
| |
|
|
| |
для: freeing
(02.02.2010 в 17:38)
| | | Так и я к тому, что не побрезгуйте обеспечить возможность минимизировать проблемы.
Заведите таблицу с описаниями модулей. Разместите в ней хеши файлов модулей.
Проверьте их при подключении, сканируя эту таблицу. Подстелите соломку, короче говоря. | |
| |
|
|
| |
|
|
| |
для: Тень
(02.02.2010 в 18:04)
| | | >Никто не заявлял, что Apache кто-то разрешит что-то создавать в этом каталоге, файлы (модули, плагины) заливаются по (S)FTP/SSH.
Вы это за топикстартера расписываетесь? :) | |
| |
|
|
| |
|
|
| |
для: Trianon
(02.02.2010 в 16:15)
| | | > Вы убеждены, что в перечисленных продуктах списки модулей нигде (кроме как списком файлов каталога) не декларированы?
Да.
> На хостинге обычно у apache права самые минимальные. И если ему разрешено создавать файлы в некотором каталоге
Никто не заявлял, что Apache кто-то разрешит что-то создавать в этом каталоге, файлы (модули, плагины) заливаются по (S)FTP/SSH. | |
| |
|
|
| |
|
|
| |
для: Trianon
(02.02.2010 в 17:24)
| | | в целом я вас понял, я понимаю сомнение и разделяю его, если есть возможность избежать проблем, грех не воспользоваться....
просто заказчик приходит и говорит, мне вот так, или сяк...
я мол буду заказывать поиск по сайту но позже....
вот и ищу возможность удаленного обновления... | |
| |
|
|
| |
|
|
| |
для: freeing
(02.02.2010 в 17:19)
| | | Бу. Га. Га.
В (02.02.2010 в 12:19) замените "проверка константой" на "данные зашифрованы".
Если же ряд проверок подразумевался в этом скрипте - который файлы перебирает, то такие проверки нужно показывать явно и сразу. Собственно, их всякое отсутствие и является поводом для моего (02.02.2010 в 02:47) | |
| |
|
|
| |
|
|
| |
для: Trianon
(02.02.2010 в 12:19)
| | | вопрос в том, что данные файлы будут зашифрованы....
и будет ряд проверок | |
| |
|
|
| |
|
|
| |
для: Тень
(02.02.2010 в 14:21)
| | | Вы убеждены, что в перечисленных продуктах списки модулей нигде (кроме как списком файлов каталога) не декларированы?
Кто разрешит?
На хостинге обычно у apache права самые минимальные. И если ему разрешено создавать файлы в некотором каталоге, значит файлы в этом каталоге по правам UNIX может создать вообще любой пользователь сервера.
Вот он и создаст.
> Так и будем молчать? :)
Кто молчит-то, Алё?
У меня сегодня из клавиатуры только разве дым не идет. | |
| |
|
|
|
