PHP y otros archivos en el servidor, su visibilidad y acceso [cerrado]

1

Digamos que me gustaría proteger mis archivos PHP que se encuentran en el servidor público y se usan como parte del sitio web. ¿Alguien puede acceder fácilmente a estos archivos como HTML / JS / CSS a través de la herramienta de desarrolladores en los navegadores o extensiones como FireBug?

Supongo que no es posible a través de estas herramientas, pero ¿qué pasa si alguien está rastreando la URL y trata de adivinar el nombre de los archivos php al azar, lo que sería fácil para algo como results.php o similar. ¿El archivo se muestra así si lo adivinan?

¿Qué pasa si alguien va a escribir un script para rastrear la URL?

    
pregunta redCodeAlert 01.03.2015 - 00:53
fuente

1 respuesta

4

En circunstancias normales, asumiendo que el servidor está configurado correctamente y que no hay vulnerabilidades de seguridad ni en su servidor ni en su código PHP, no debería haber ninguna manera para que los visitantes normales vean su fuente de PHP.

La razón por la que no puede ocultar HTML / CSS / JS de los usuarios es que HTML / CSS / JS son todos códigos del lado del cliente , lo que significa que son interpretados y ejecutados por el navegador del usuario. Obviamente, debe enviar el código al usuario antes de que el navegador lo pueda ejecutar, de modo que los usuarios puedan hacer que sus navegadores les muestren fácilmente este código.

PHP, por otro lado, es el código del lado del servidor . Esto significa que su servidor lo ejecuta y solo envía los resultados al usuario. ("Resultados", en su mayor parte, significa cualquier cosa que ponga en las declaraciones echo() ). Por lo tanto, no debería haber ninguna manera para que los usuarios vean la fuente original. Se limitan a las cosas que explícitamente 'echo' (además de los mensajes de error de PHP, si los tiene habilitados).

Si alguien adivina la URL de una secuencia de comandos php e intenta acceder a la URL directamente, el servidor seguirá ejecutando la secuencia de comandos y enviará solo la salida al usuario. El servidor ejecuta el script cada vez que se solicita. Lo que verá el usuario depende de la secuencia de comandos específica y la configuración de su servidor. Si la secuencia de comandos requiere la entrada del usuario y no se proporciona ninguna, es probable que el usuario simplemente vea un mensaje de error.

  

se requieren derechos de lectura / escritura para que el usuario realice el php   funciona, o está bien llevar el acceso r / w del usuario a los archivos php y al   El sitio web se comportará igual accediendo a php cuando el tipo de usuario   ¿Lo pides utilizando el sitio web?

No tengo idea de lo que quieres decir con esto, ¿podrías explicarme?

    
respondido por el tlng05 01.03.2015 - 01:29
fuente

Lea otras preguntas en las etiquetas