public - privat hjemmeside

måske

response.write "<img src=" & server.mappath("../../privat/pic_1.jpg") & ">"

det kommer an på deres filstruktur på serveren,
hvor ligger privat i forhold til den side der kalder

den ligger i roden, 2 foldere ("op") og så ("ned") i privat mappen.

server.mappath ser ikke ud til at virke :-(

nej men så prøv med absolut sti..

d:/blabla.

du kan finde den vhj server.mappath og så rette den til

Jvf din beskrivelse "den ligger i roden, 2 foldere ("op") og så ("ned") i privat mappen"..:

Hvorfor ikke bare "/privat/pic_1.jpg" ...? :-)

Alternativt:

src="billed.asp?billede=pic_1.jpg"

hvor filen billede.asp læser filen via server.mappath (som i 07/08-2007 18:59:12), og udskriver dataene binært..

Det burde virke..

Ang "billede.asp":

Se http://www.xefteri.com/articles/show.cfm?id=7

mit problem er at jeg skal "op" i rod mappen på serveren og så lave en mappe på samme niveau som min public folder. Formålet skal være at skjule filer/billeder som ikke bliver kaldt fra et script på serveren.
Men reelt så accesser man min hjemmeside i "public" folderen hvis man blot taster url'en ind i en browser.

Hvad skriver den, når du gør sådan her:

response.write server.mappath("/privat/pic_1.jpg")

Så skriver den dette tilbage:

d:\www\mit_domæne.dk_59t43dfhct\public_html\private\pic_1.jpg

Men så ser det jo ud som om at private er en sub-mappe til public_html. Det er den jo ikke.
PS jeg har omdøbt mappen til "private".

Hvis den skriver

d:\www\mit_domæne.dk_59t43dfhct\public_html\private\pic_1.jpg

så er private en subfolder til "public_html".. Det kan du ikke komme udenom..

Det kan godt være, at du selv (eller de) har oprettet en mappe med navnet "public", under din private-mappe..

Så er public en subfolder til private, som er en subfolder til public_html..

Hvis du f.eks. skriver

response.write server.mappath("/")

kan du se hvilken mappe der er din ROD mappe..

rod-mappen er den mappe, som lægger "længst" væk, dvs, så langt "op" som muligt..

Hver gang du går "..", går du 1 mappe op.. "/" går til roden, hvor det er sidste stop..


Hvis din udbyder ikke har sikkerheden i orden, kan du komme ud af webhotel-mappen ("www") og komme ud på deres server..

Hvis din udbyder ikke har sikkerheden i orden, kan du komme ud af "mit_domæne.dk_59t43dfhct", ind i "www" og ind på alle de andre kunders filer.. hvilket ikke er så godt..

Derfor:
Du burde ikke kunne komme længere ud, end til "d:\www\mit_domæne.dk_59t43dfhct", hvilket gerne skulle blive afsløret med:

response.write server.mappath("/")

Min "root" er præcis som du siger (d:\www\mit_domæne.dk_59t43dfhct\public_html)

Hvordan kan de så holde styr på om filerne er private eller offentlige, er det noget du har styr på ?

Dvs at jeg skal hente mine filer på en url placering som ligger "virtuelt" i en undermappe til min "public_html". Giver det mening ?

Normalt er alle filer offentlige, og normalt har man kun 1 ting, der er private: databasen

Man har normalt en mappe, typisk kaldet "db", som ligger (i dit eksempel) her:

d:\www\mit_domæne.dk_59t43dfhct\db

I denne fil ligger du så din Microsoft Access database-fil, hvis du bruger sådan en.
Med en MySQL eller MSSQL database, er det en IP du skal angive, hvilket betyder at der ikke kommer til at ligge noget i "db" mappen..


Jeg vil anbefale at du undersøger, om du har FTP adgang til dit webhotel. Hvis du har det, skal du prøve at logge på med FTP adressen + brugernavnet + kodeord.

Derefter skal du lige orientere dig:

Hvor er du, i forhold til din rod?
Hvilke mapper kan du se?
Har du en "db" mappe?

Hvis du ikke vil afsløre lokationen af f.eks. billeder, lydfiler eller ligende, skal du bruge en løsning som jeg omtalte i:

07/08-2007 22:34:23

07/08-2007 22:39:31

Det eneste der bliver afsløret, er filen "billede.asp", hvilket man ikke kan bruge til noget, da man jo ikke kan se ASP koden ved at downloade filen.. som alligevel skulle returnere et billede.. :-)

Måske har jeg misforstået noget.
Men det er vel nærmest det samme som i dag hvor jeg henter mine billeder fra asp filen. Dvs brugeren ikke kan se deres lokation.
Problemet er så hvis f.eks google web-crawler eller personer forsøger sig at scanne min hjemmeside, så kan de finde billederne i deres ubeskyttede form hvis/når de finder lokationen hvor de er lagt.
Er det ikke korrekt ?

Nej, det er heller ikke korrekt.. :-)

Man kan ikke se filer, med mindre at man skriver adressen til dem, enten direkte på siden som tekst, eller via links.

Dog kan det lade sig gøre at se alle filerne, hvis du slår "directory browsing" (også kaldet "gennemsyn af mapper") på mappen, til..

Så laver serveren en oversigt over alle filerne, når man går ind på adressen (f.eks. .dk/mappe/).

Med andre ord:
Hvis "directory browsing" ikke er slået til (for den pågældende mappe eller site), kan man ikke se filerne i mappen.

Hvis du har IIS installeret på Windows XP eller Windows 2000, eller PWS på Windows 98, kan du selv teste det..

Har du en lokal webserver (IIS eller PWS) installeret på din computer? Hvis ja, hvilket version af Windows?

Ovenstående skulle laves i forbindelse med min ferie.
Det er dog stadigvæk aktuelt at få løst.

Mht web-crawl af min hjemmeside. Jeg mener at "directory browsing" er false, så hvis jeg ikke har link fra min hovedside www.minside.dk så findes de ikke af webcrawleren. Med andre ord ligger jeg f.eks et dokumenter på
  www.minside.dk/hemmelig/dokumenter/word.doc
Så ses det ikke af en webcrawler ?
Hvad med folk med onde hensigter kan de finde frem til dette dokument ?
Jeg formodede at man fra min "root" wille kunne søge efter alle "subdirektorier", men det er altså ikke muligt med "directory browsing" = false

Så længe at der ikke er links til http://www.minside.dk/hemmelig/dokumenter/word.doc , hverken på dine sider eller sider på nettet, kan en webcrawler ikke finde filen.

Hvis du lige nu har domænet minside.dk, og samme mappe struktur og fil, og samtidigt skriver et link til filen online, f.eks. på Eksperten eller anden anden side, vil Googles søgning kunne finde filen.

Ellers ikke.

Så skal man nemlig til at prøve samtlige kombinationer..
Dvs, man skal selv prøve med f.eks.:
minside.dk/a
minside.dk/b
...osv..
indtil man rammer den rigtige adresse.. hvilket kan tage tid..
Når man så beskeden "Directory Listing Denied" og "This Virtual Directory does not allow contents to be listed.", ved man at man har fundet en eksisterende mappe.

Når man har fundet en eksisterende mappe, kan man begynde at søge efter filer.. hvilket tager endnu længere tid, da et filnavn består af et navn og en type.

Man skal altså checke for
a.txt
b.txt
...osv... og:
a.doc
b.doc
...osv...

Så længe at "directory browsing" er slået fra (false), er det de eneste måde at finde mapper/filer på:

1) Hvis en side (f.eks. Eksperten, eller et andet sted) linker til mappen/filen, og siden bliver indekseret af en søgemaskine.
Søgemaskiner kan kun finde det der linkes til, eller det man beder den om at finde.
Yderligere kan man putte en "robot.txt"-fil ude i roden af domænet, der indeholder kommandoer, som fortæller søgemaskine-crawleren hvad den må indeksere.

2) Brute force, dvs. afprøvning af samtlige kombinationer.

Takker for forklaringen "thesurfer", hvis du ligger et svar så giver jeg dig point.

Ok :-)

Sorry den lange tid der skulle gå før "regningen" blev betalt :-)