В чём суть расположения файлов выше www?

Question

[c5c5]

Не раз видел что в веб-приложениях кладут системные файлы выше www. Но ведь когда по фтп заходишь там видно эту папку и в неё можно зайти, загрузить что-то.
Или это не для случая когда пароль от ФТП крадут? Тогда против чего?
И что оставлять в www тогда? Только index.php картинки, стили скрипты?

Comments

[c5c5]

Денис Иванов: основные php-файлы обеспечивающие главный функционал проекта

Answer 1

[Алексей Уколов]

Смысл в том, что в www (и только туда) имеет доступ веб-сервер. Соответственно всё, что не должно быть доступно веб-серверу (например, исходные коды, файлы конфигурации и т.п.) размещают вне этой папки. Это позволяет защититься от кривой настройки веб-сервера, когда он начинает исходники отдавать как текстовые файлы, например.

Comments

[c5c5]

А если пользователь файлы заливает свои какие-то их лучше где хранить ниже www? Такая кривая настройка довольно редкая штука, за много лет с ней не встречался ни разу, к тому же предварительно проверяешь, а от взлома или заращения php-файлов вирусами (где закодированная строка base64) это поможет уберечься?

[Алексей Уколов]

Всё зависит от того, как эти файлы отдаются - если по прямой ссылке, то, разумеется, они должно быть доступны из www. Если же они отдаются скриптом (с проверкой авторизации или прав доступа, например), то опять же лучше их хранить вне директории веб-сервера - меньше шансов зафейлить.
От взлома и заражения, скорее всего, не особо поможет - веб-сервер это не единственный и не главный способ взлома.

[Алексей Уколов]

Даже если такая кривая конфигурация редка - нет ни одной причины хранить всё в директории веб-сервера. Лучше, когда по дефолту всё закрыто и отдается в паблик только по необходимости.

Answer 2

[romy4]

суть в том, чтобы через http не иметь доступа к ней, а только через скрипты

Comments

[c5c5]

Это понятно в каких случаях это может представлять угрозу?

[Александр Аксентьев]

c5c5: Когда вы положите backup.zip в /var/www, а я зайду на ваш site.ru/backup.zip и скачаю с потрохами весь ваш сайт и с базой данных.

[romy4]

c5c5: да в принципе особой нуждны в этом нет. Если кладётся шелл или дырка в скриптах, позволяющая читать что угодно, то такое помещение ничем не спасает. Но может быть полезно, когда много сайтов и один движок, который кладётся чуть выше сайтов.

[c5c5]

romy4: спасибо, вы меня прям смутили, я думал это маст хэв а теперь стал сомневаться ))

[c5c5]

Александр Аксентьев: ну это если скрипты делают бекап, что маловероятно ))

[romy4]

c5c5: вобще, ложить бэкап/разные sql файлы в папку www верх безрассудства

[romy4]

c5c5: или в незакрытую от доступа по http

Answer 3

[trevoga_su]

клади смело все в www, все эти страшилки из пальца высосаны