Как лучше реализовать защиту php файлов от прямого доступа?

Question

[therealvetalhidden]

Здравствуйте! Не могу определится как лучше реализовать защиту php файлов от прямого доступа:

1) в index.php прописать define('EXEC', true); и в остальных php файлах делать проверку defined('EXEC') || die;
2) .htaccess запретить доступ к php файлам разрешить только index.php
3) ваш вариант

Какой вариант лучше правильней и безопасней?

Answer 1

[Юрий]

часто все файлы к которым прямой доступ должен быть запрещен просто выносят за пределы веб директории

/src (здесь весь код приложения)
/web (сюда смотрит apache/nginx)
-- index.php

Comments

[Alzasr]

Поддерживаю. Точки входа в отдельную папку, на которую смотрит Webсервер, а исполняемые файлы в других,недоступных webсерверу папках.

[therealvetalhidden]

riky: кстати я думал над таким вариантом, но я где то читал что это замедляет работу скрипта, не знаю правда это или нет, но вариант очень хороший, спасибо) я почему спросил, потому что 1 вариант используют многие cmc frameworke итд, а как по мне этот вариант не очень)

[Юрий]

therealvetalhidden: все cms используют потому что для обычных юзеров так проще + некоторые хостинги могут не поддерживать такой варинат, или усложнит его.
например если вы покупаете хостинг а там в корне просто лежат папки доменов куда надо заливать код
/example.org
-- index.php
/example.com
-- index.php

при такой структуре вынести будет сложнее - папка src у обоих проектов будет одна... придется извращаться как то.
правильная структура для хостингов - внутри директорий доменов создавать дополнительные директори на которые смотрит веб сервер
www
web
puvlic_html
итд

если вы делаете продукт не для одного заказчика а на сто тыщ пользователей, которые должны будут ставить домохозяйки - то лучше в одну папку все...

так же можно весь закрытый код положить в одну папку и добавить
.htaccess внутрь с текстом
deny from all
это также запретит доступ через веб ко всему внутри.

[therealvetalhidden]

riky: еще раз большое спасибо)

Answer 2

[FanatPHP]

1. Не париться вообще по этому смехотворному поводу.
2. Положить вне корня веб-сервера
3. Научиться гуглить

(блин, охренеть. вот сколько раз задают этот вопрос - столько он собирает кучу подписчиков. то есть вот эта вот бессмысленная ерунда на палочке и составляет самую пбольшую проблему местных посетителей. )

Answer 3

[Алексей Яхненко]

а чем собственно тебе мешает прямой доступ к файлам?

Comments

[therealvetalhidden]

Алексей Яхненко: ну я считаю зачем разрешать прямой доступ к файлу /controllers/controller.php если он инклудится, или я не прав?

[Алексей Яхненко]

therealvetalhidden: если у тебя нормальный код, то при обращении к этому файлу ничего не произойдет.

[therealvetalhidden]

Алексей Яхненко: при обращение к этому файлу ничего и не происходит, рад что у меня нормальный код)

[Алексей Яхненко]

therealvetalhidden: ну теперь сам спроси у себя - а нахрена мне морочиться с запрещением доступа?

[therealvetalhidden]

Алексей Яхненко: хотя бы потому что я вижу как почти все cmc frameworke крупные сайты это делают, нахрена они это делают?

Answer 4

[HappyCougar]

Первый способ, он проверен годами и более всего удобен.

Comments

[Сергей Савостин]

OnYourLips: он 100% работает на виртуальном хостинге, где возможно нет доступа к директории выше DOCUMENT_ROOT. Т.е. он используется в большинстве cms и прочих устанавливаемых клиентами комплектах скриптов.

[Сергей Савостин]

OnYourLips: Мы же говорим не о пользователях (которым надо пробовать vps), а о разработчиках (которые это web-приложение пишут). Это далеко не всегда один человек ;)

[FanatPHP]

Анатолий K: какого еще "инклюдинга"? что ты несёшь?

[FanatPHP]

Анатолий K: что за бред про "залить админу свой indexmy.php"? если на сайте дырень, в которую можно залить свой скрипт, то какое она имеет отношение к играм в ирюльки с константами? А, главное, НА КОЙ ЛЯД такому скрипту что-то инклюдить, если сайт УЖЕ поломан?

[FanatPHP]

Анатолий K: я помню, у тебя с правами какая-то мозговая травма связана, ты пытаешься их приплести куда надо и куда не надо.

[FanatPHP]

Анатолий K: доказывают фактами, дружочек. А тут только несешь ахинею.