Не редактируются фалы из скрипта php

[pitbull0007]

Хранить пароли в файле вообще небезопасно. А права на файл лишь не позволяют изменить этот файл сторонним юзерам (соответственно, процессам, которые выполняются под этими юзерами). С возможностью скачивания права связаны флагами чтения. Если вы не хотите, чтобы файл вообще был доступен кому-либо, кроме владельца, то ставьте 400, тогда точно не скачают.

Но я до сих пор не могу понять, если этот файл лежит в сети, и его можно просто скачать, зачем вы задаете вопросы о какой-то безопасности? Ну или ок, его могут скачать только избранные, но что им мешает выставить права на этот файл самостоятельно?

Так почему тогда joomla так делает(хранить пароли в фале configuration.php), и я пока не встречал CMS, у которой пароли хранятся где то помимо фалов

 

[Zvook]

Так почему тогда joomla так делает(хранить пароли в фале configuration.php), и я пока не встречал CMS, у которой пароли хранятся где то помимо фалов

Ну потому что другого способа пока не придумали. Хотя я гдето видел что пароли хранятся в зашифрованных файлах, но не помню где...

 

[radioheaded]

Так почему тогда joomla так делает(хранить пароли в фале configuration.php), и я пока не встречал CMS, у которой пароли хранятся где то помимо фалов

Потому что в любой нормальной CMS всегда есть инструкция к такому файлу, какие права на него выставить и какого юзера сделать владельцем.

И все же ответьте мне на вопросы:

Но я до сих пор не могу понять, если этот файл лежит в сети, и его можно просто скачать, зачем вы задаете вопросы о какой-то безопасности? Ну или ок, его могут скачать только избранные, но что им мешает выставить права на этот файл самостоятельно?

а то я спать спокойно не смогу.

 

[pitbull0007]

Ну потому что другого способа пока не придумали. Хотя я гдето видел что пароли хранятся в зашифрованных файлах, но не помню где...

Так, по словам radioheaded получатся, что нельзя так делать, а как надо никто не знает.

 

[Zvook]

Потому что в любой нормальной CMS всегда есть инструкция к такому файлу, какие права на него выставить и какого юзера сделать владельцем.

И все же ответьте мне на вопросы:

а то я спать спокойно не смогу.

Насколько я понял, ТС выдает на редактирование файл конфига через веб-интерфейс ... возможно ...

 

[С.]

Если не поставить 777, на некоторых хостингах такой файл не получиться изменить из скрипта, просто хочу знать, правильно ли будет, если я поставлю 777 на файл php с паролями, если нет, то почему?

Давай я поработаю экстрасенсом и очерчу, то о чем ты думаешь. Безопасно ли хранить пароли в РНР файле с точки зрения выдачи их HTTP сервером? Если сервер настроен на РНР, то вполне безопасно. Хоть с 777, хоть с 999. Но его в принципе могут украсть в обход бразуера, если есть дыра. Но это уже другая тема.

 

[pitbull0007]

Потому что в любой нормальной CMS всегда есть инструкция к такому файлу, какие права на него выставить и какого юзера сделать владельцем.

И все же ответьте мне на вопросы:

а то я спать спокойно не смогу.

Представьте я создал самый крутой в мире CMS и я хочу выложить его в сеть, чтобы все пользовались и при установке она просит данные для подключения к mysql и хранит их в файле "config.php", у файла права доступа 644 и на некоторых хостингах установить не получается из-за прав, поэтому хочу установить 777. Просто хотелось знать, правильно ли так делать.

 

[radioheaded]

Представьте я создал самый крутой в мире CMS и я хочу выложить его в сеть, чтобы все пользовались и при установке она просит данные для подключения к mysql и хранит их в файле "config.php", у файла права доступа 644 и на некоторых хостингах установить не получается из-за прав, поэтому хочу установить 777. Просто хотелось знать, правильно ли так делать.

Еще раз: если у пользователя нет никаких прав на хостинге, то он и вашу волшебную CMS туда залить не сможет, и запустить не сможет, и вообще ничего не сможет. Чтобы изменить файл, рут не нужен, достаточно быть его владельцем. Если юзер просто заливает файлы, залогинившись под своей учеткой, то созданные файлы будут принадлежать ему.

А по-хорошему, нужно делать веб-интерфейс для редактирования конфига, потому что если вы считаете, что юзер не знает, как сменить владельца файла, то уж в конфиг его пускать с голыми руками это вообще преступление. Но даже в случае веб-интерфейса файл нужно отдать во владение юзера веб-сервера.

В общем, ставьте на все файлы в своей CMS 777 и не парьтесь. Придет время, и все само собой разрешится.

 

[pitbull0007]

Еще раз: если у пользователя нет никаких прав на хостинге, то он и вашу волшебную CMS туда залить не сможет, и запустить не сможет, и вообще ничего не сможет. Чтобы изменить файл, рут не нужен, достаточно быть его владельцем. Если юзер просто заливает файлы, залогинившись под своей учеткой, то созданные файлы будут принадлежать ему.

А по-хорошему, нужно делать веб-интерфейс для редактирования конфига, потому что если вы считаете, что юзер не знает, как сменить владельца файла, то уж в конфиг его пускать с голыми руками это вообще преступление. Но даже в случае веб-интерфейса файл нужно отдать во владение юзера веб-сервера.

В общем, ставьте на все файлы в своей CMS 777 и не парьтесь. Придет время, и все само собой разрешится.

Спасибо, так и сделаю

 

[fixxxer]

какие глупости вы обсуждаете

разумеется, говоря в таких случаях о безопасности, речь не о кулхакере, ломающем сервера силой мысли, а о соседях по хостингу.

если свой сервер/впс, хоть chmod 100500, какая, нахрен, разница?