Защита сценариев сайтаСегодня я расскажу о том, как же защищать сценарии сайта правами доступа сервера Apache. Нам надо понимать, что права Web-сервера существуют не только для проверки доступа. Права используются так же для защиты сценариев или файлов сайта. Допустим у вас есть каталог, где находятся файлы сценариев, которые только подключаются, а вызов напрямую пользователям происходить не должен, то тогда доступ надо запретить. Вот для этого воспользуемся средствами одного из самых популярных веб-серверов Apache и создадим файл .htaccess со следующим содержимым:

Order Deny, Allow

Deny from all

Allow from 127.0.0.1

Данный пример, полностью запрещает доступ к любому файлу каталога через браузер, кроме локального PC. А следовательно хакер не сможет обратится напрямую к файлом каталога, доступ открыть только сценариям Web-сервера, который собственно и находится на вашем сервере.

Для упрощения работы и управление сервером, создайте такую структуру сервера, где в основном каталоге будут файлы и сценарии нужные пользователю через адресную строку браузера (URL). Остальное сгруппируйте по типу и уберите в отдельные каталоги, где доступ напрямую закрыт. Хорошим примером будет CMS Dle, где полностью реализована данная задумка.

На многих сайтах есть лента новостей, сценарий для связи с администратором сайта и т.п. Данные сценарии подключаются в другие страницы, обычно с помощью include и вполне логично убрать все файлы, относящиеся к ленте в отдельный каталог, защищенный с помощь Apache и файла .htaccess. Удобно и вероятность взлома резко снижается.

Аутентификация с помощью Apache зовётся «базовой» и в таком методе при передаче данных используется кодирование из-за которого данный метод и получил название — Base64. Кодирование, заметьте, ибо это не шифрование, хотя и текст становится нечитаемым он легко расшифровывается.  Пример кодирование и декордирования:

<?php

 $str=»TEST REVOLWEB.RU»

 print («<p>кодируемая строка: $str»);

 $encoded=base64_encode($str);

 print(«<p>закодированный текст: $encoded»);

 $decoded=base64_decode($encoded);

 print(«<p>декодированный текст: $decoded»);

?>

Если Apache выполнит этот сценарий на странице мы увидим следующее:

кодируемая строка: TEST REVOLWEB.RU

закодированный текст: VGhpcyBpCjd0cs

декодированный текст: TEST REVOLWEB.RU

Этот пример показывает нам, что декодированный текст — это слишком просто и на это не нужно много времени. Недостаток в простоте и обходится без ключа, который бы мог повлиять на безопасность и улучшать её.

Защита сценариев сайта с помощью Apache и файла .htaccess, а так же использование базовой аутентификации и кодирование / декодирование с помощью Base64

Защита сценариев сайта
Защита сценариев сайта с помощью Apache и файла .htaccess, а так же использование базовой аутентификации и кодирование / декодирование с помощью Base64
Защита сценариев сайта Apache и .htaccess
Written by: Apache
Date Published: 05/21/2015
Apache и .htaccess - это отличная защита сценариев сайта с помощью прав доступа
5 / 5 stars