Защита php-файлов.

[c0dex]

WMix
особенно хорошо падали Apache от атак вида slowloris

 

[WMix]

прикольненько ))

CCCCCCCCCCOOCCOOOOO888\@8\@8888OOOOCCOOO888888888\@\@\@\@\@\@\@\@\@8\@8\@\@\@\@888OOCooocccc::::
CCCCCCCCCCCCCCCOO888\@888888OOOCCCOOOO888888888888\@88888\@\@\@\@\@\@\@888\@8OOCCoococc:::
CCCCCCCCCCCCCCOO88\@\@888888OOOOOOOOOO8888888O88888888O8O8OOO8888\@88\@\@8OOCOOOCoc::
CCCCooooooCCCO88\@\@8\@88\@888OOOOOOO88888888888OOOOOOOOOOCCCCCOOOO888\@8888OOOCc::::
CooCoCoooCCCO8\@88\@8888888OOO888888888888888888OOOOCCCooooooooCCOOO8888888Cocooc:
ooooooCoCCC88\@88888\@888OO8888888888888888O8O8888OOCCCooooccccccCOOOO88\@888OCoccc
ooooCCOO8O888888888\@88O8OO88888OO888O8888OOOO88888OCocoococ::ccooCOO8O888888Cooo
oCCCCCCO8OOOCCCOO88\@88OOOOOO8888O888OOOOOCOO88888O8OOOCooCocc:::coCOOO888888OOCC
oCCCCCOOO88OCooCO88\@8OOOOOO88O888888OOCCCCoCOOO8888OOOOOOOCoc::::coCOOOO888O88OC
oCCCCOO88OOCCCCOO8\@\@8OOCOOOOO8888888OoocccccoCO8O8OO88OOOOOCc.:ccooCCOOOO88888OO
CCCOOOO88OOCCOOO8\@888OOCCoooCOO8888Ooc::...::coOO88888O888OOo:cocooCCCCOOOOOO88O
CCCOO88888OOCOO8\@\@888OCcc:::cCOO888Oc..... ....cCOOOOOOOOOOOc.:cooooCCCOOOOOOOOO
OOOOOO88888OOOO8\@8\@8Ooc:.:...cOO8O88c.      .  .coOOO888OOOOCoooooccoCOOOOOCOOOO
OOOOO888\@8\@88888888Oo:. .  ...cO888Oc..          :oOOOOOOOOOCCoocooCoCoCOOOOOOOO
COOO888\@88888888888Oo:.       .O8888C:  .oCOo.  ...cCCCOOOoooooocccooooooooCCCOO
CCCCOO888888O888888Oo. .o8Oo. .cO88Oo:       :. .:..ccoCCCooCooccooccccoooooCCCC
coooCCO8\@88OO8O888Oo:::... ..  :cO8Oc. . .....  :.  .:ccCoooooccoooocccccooooCCC
:ccooooCO888OOOO8OOc..:...::. .co8\@8Coc::..  ....  ..:cooCooooccccc::::ccooCCooC
.:::coocccoO8OOOOOOC:..::....coCO8\@8OOCCOc:...  ....:ccoooocccc:::::::::cooooooC
....::::ccccoCCOOOOOCc......:oCO8\@8\@88OCCCoccccc::c::.:oCcc:::cccc:..::::coooooo
.......::::::::cCCCCCCoocc:cO888\@8888OOOOCOOOCoocc::.:cocc::cc:::...:::coocccccc
...........:::..:coCCCCCCCO88OOOO8OOOCCooCCCooccc::::ccc::::::.......:ccocccc:co
.............::....:oCCoooooCOOCCOCCCoccococc:::::coc::::....... ...:::cccc:cooo
 ..... ............. .coocoooCCoco:::ccccccc:::ccc::..........  ....:::cc::::coC
   .  . ...    .... ..  .:cccoCooc:..  ::cccc:::c:.. ......... ......::::c:cccco
  .  .. ... ..    .. ..   ..:...:cooc::cccccc:.....  .........  .....:::::ccoocc
       .   .         .. ..::cccc:.::ccoocc:. ........... ..  . ..:::.:::::::ccco

 

[Oleg Telegin]

function foo(){
if(isset($_GET['test'])){ ... }
}
которая не вызывается в нем же напрямую, ничего х... не будет если его будет долбить напрямую.

Так я напишу скрипт вызова страницы: сайт/page.php?test = Траляля1, и т.д. И вот тебе есть существование $_GET['test']. И пошло поехало..

 

[hell0w0rd]

Так я напишу скрипт вызова страницы: сайт/page.php?test = Траляля1, и т.д. И вот тебе есть существование $_GET['test']. И пошло поехало..

не пиши так

 

[c0dex]

Oleg Telegin
Причем тут скрипт вызова страницы? Такие конструкции, как ты привел, надо оборачивать в функции и вызывать там где это тебе надо, а не писать говнокод на "лапше"

 

[Dovg]

Есть мнение, что в document_root должна лежать только точка входа и статика, все остальное должно быть выше.

 

[Vladson]

точка входа и статика

Удобнее всёж отдельную папку(и) для статики

(хотя у меня один "сайт" крутится на 1мбит канале, по этому статика более 1кб вообще на других серваках)

 

[С.]

Есть мнение, что в document_root должна лежать только точка входа и статика, все остальное должно быть выше.

Если слово "должна" заменить на "может", то других возраженой ко мнению нет.

 

[fixxxer]

Про статику - надо четко разделять статику, которая лежит в репозитории, и статику, заливаемую пользователем.
Это две разные вещи, и второе точно должно лежать вне application root, в совершенно отдельной папочке.
В конфиге вебсервера просто настраивается Location.

Если слово "должна" заменить на "может", то других возраженой ко мнению нет.

Должна-должна.
Проблемы шаред хостингов оставим в покое, это отдельные вынужденные меры.

 

[c0dex]

Dovg
Не у всех есть такая возможность)

 

[С.]

Должна-должна.
Проблемы шаред хостингов оставим в покое, это отдельные вынужденные меры.

А при чем тут шаред хостинг? У всех есть вышестоящая директория. Только нафиг нужны эти ритуальныр прыжки по директориям, если и без них с безопасностью нет проблем.

Типа:
- безопасно и еще безопаснее
- мертвый и еще мертвее
- тупой и еще тупее

 

[fixxxer]

Затем, что библиотеки совершенно незачем отдавать веб-сервером наружу.
Можно и весь линуксовый /usr/lib отдавать, это ровно так же безопасно, бессмысленно и беспощадно.

 

[Вурдалак]

С., конфиги, которые нередко делают в YAML/XML, тоже видимо стоит держать наружу. Давать информацию об используемых библиотеках действительно ни к чему, это действительно может быть небезопасно, сужается круг поиска.

 

[С.]

С., конфиги, которые нередко делают в YAML/XML, тоже видимо стоит держать наружу.

Это надо быть "одаренным" чтобы создать ничем не оправданный оверхед по парсингу конфигов, а потом еще побороться за их защиту. Дурная голова ногам покоя не дает.

 

[Вурдалак]

оверхед по парсингу конфигов

О каком таком оверхеде идёт речь? О первом парсинге до того, как оно попадёт в кеш?

YAML/XML конфиги не позволяет срать кодом там, где должны быть данные, это важно.

 

[С.]

Да, тажело вам, работающиме не в команде, а в стае обезьян. Причем насрать они могут хоть куда, в кеш, в шаблон или в библиотеку.

 

[Вурдалак]

Начинается всё с малого, PHP-конфиги и шаблоны провоцируют, каждый раз нужно бить по рукам. Но, впрочем, зачем я объясняю это человеку, который глушит PHP notices? У нас разные представления о говнокоде.