29. oktober 2002 - 12:09Der er
29 kommentarer og 2 løsninger
.htaccess til at beskytte filer!
Hej eksperter
Jeg er newbie mht. at benytte .htaccess filer til at beskytte filer med, men har prøvet at bruge følgende i en .htaccess fil:
<Files ~ "\.ini$"> Order deny,allow Deny from all </Files>
Som efter sigende skulle beskytte .ini filer mod direkte adgang. Dette er dog ikke tilfældet, da jeg efter at have smidt .htaccess filen i biblioteket nemt kan læse .ini filerne!! Skal der laves noget yderligere mht. rettigheder til filer/biblioteker eller hvad kan der gå galt?
du kan beskytte enkelte filer ved at skrive <Files filnavn.txt> require valid-user </Files> hvis du ønsker at beskytte alle filer med endelsen så bruges <Files *.ini> require valid-user </Files>
m.h.t. til at se den via ftp, 1. Hvorfor hedder den ikke bare .htaccess fra starten? 2. Er det ftp via din browser? Så prøv med et "regulært" ftp-program
IndexIgnore *.ini <Files *.ini> Order deny,allow Deny from all </Files>
htm: Hvad er fejlen i den udgave jeg har angivet ovenfor - jeg har den fra et script jeg har installeret så jeg ville mene den burde være rigtig og det måske kunne være et spørgsmål om opsætning i Apache?
sukos: 1) Den hedder ikke .htaccess fra starten fordi det filnavn er åbenbart ikke gyldigt på et windows system 2) Det er WS_FTP Pro
Jeg kan ikke umiddelbart finde en option i ws_ftp med "vis skjulte filer" - kunne egentlig også forestille mig, at det var en option som var sat i filsystemet på den server man kobler op til!
ja, .htaccess filer er jo specielle på webserveren, derfor tænkte jeg om det kunne ha' betydning, at en fil "skiftede" status. Hvad hvis du bruger din webbrowser?
tipsen>> Hmm jeg hacde vist ikke lige forstået spørgsmålet rigtigt! mit eksempel giver dig en loginprompt så kun dem med rigtigt password har adgang! dit eksempel virker fint nok her, med chmod på 644, så hvad der er galt ved jeg ikke!
OK - dvs. nu er det ikke noget problem at oprette en .htaccess fil og det er bekræftet at indholdet af den fil jeg har lavet er korrekt! Problemet er så, at jeg uden problemer kan tilgå ini-filerne i det bibliotek hvor jeg har uploadet .htaccess filen til! Hvordan kan det være at Apache tilsyneladende neglicherer betydning af den .htaccess fil som ligger i biblioteket!
Ved hjælp af sidste link fandt jeg frem til følgende i min httpd.conf fil:
# This controls which options the .htaccess files in directories can # override. Can also be "All", or any combination of "Options", "FileInfo", # "AuthConfig", and "Limit" # AllowOverride None
I stedet for at lave indstillingen til "All", kan der så laves en indstilling, så det eksempelvis kun er muligt at bruge .htaccess filer i et bestemt bibliotek og alle underbiblioteker? Eller evt. en anden indstilling der ikke er helt så liberal som "All" ?
Er der evt. et sted på Apache's website hvor man kan læse om denne indstilling? (Jeg er overhovedet ikke bekendt med dette website og dermed heller ikke, hvad der ligger af online-dokumentation!)
Ja, faktisk så anbefales det jo at IKKE bruge det som standard for alle dirs, da apache så vil kikke efter en .htaccess ved hver request. måden at gøre det på, er at lave en directory-blok:
<Directory "sti/til/dir"> AllowOverride All </directory>
njah, nu er jeg ikke 100% inde i præcis hvad de forskellige muligheder dækker over, men ved at bruge "All" giver man jo mulighed for at udnytte .htacces fuldt ud. Der er f.eks. et par settings i php.ini som kan overskrives i de enkelte dirs af .htaccess :O)
Jeg ved faktisk ikke om det er en sikkerhedsbrist - men det gør at den som sukos skriver kigger efter en .htaccess fil hver gang, og hvis det så er andre der har mulighed for at skrive til serveren kan de jo ligge en .htaccess, og dermed er det er sikkerhedsbrist
OK - nu har jeg vist fået svar på alle mine spørgsmål og mere til - nu ved jeg rent faktisk, hvad det er jeg laver - og det er jo endnu bedre - tak for jeres tålmodighed og alle de gode links!
Sukos: Hvis du også gad smide et svar ville jeg være gla' :-)
sukos: Fik lige snuset lidt på dit site - zend forums - det kendte jeg ikke - nice :-)
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.