PHP/FI не читает никакие .htaccess файлы, которые могут присутствовать в каталоге. Это означает что, если у вас есть файлы, которые защищены, с использованием стандартного, основанного на особенности сервера .htaccess контроля доступа, люди могли бы потенциально обойти эту защиту, загружая страницу через PHP/FI.

Имеется пара различных решений для этой проблемы. Самое простое, возможно, это использовать особенность PATTERN_RESTRICT, находящуюся в php.h. Это позволяет вам, определить расширение (или шаблон расширений) файлов, которые можно передавать для анализа PHP/FI. Если у файла другое расширения, и кто-либо пытается загружать через PHP/FI, появится сообщение: в доступе отказано.

Другое решение состоит в том, чтобы использовать механизм управления доступом PHP/FI, чтобы подражать установке контроля доступа, который определен в вашем .htaccess файле. Хранение этой информации в двух местах может быть утомительно, хотя, и две эти системы не разделяют все те же самые особенности.

Проблема может также быть решена, используя установку прав доступа к файлу. PHP/FI может быть установлен, чтобы выполнить setuid как любой пользователь, от которого Вы пожелаете. Затем файлам, которые должны читаться PHP/FI, могут быть установлены, соответствующие биты доступа и для файлов, которые не должны читаться PHP/FI должен быть установлены владелец с другим идентификатором пользователя и соответственно измененные права доступа.

Поделитесь этой записью или добавьте в закладки