Нужно ли защищать обработчик формы (PHP файл) от прямого доступа?

Question

[210mev]

Доброе время суток.

Есть простая форма.

<form action="/action_page.php">
  First name:<br>
  <input type="text" name="firstname" value="John">
  <br>
  Last name:<br>
  <input type="text" name="lastname" value="Doe">
  <br><br>
  <input type="submit" value="Submit">
</form>

Нужно ли защищать от прямого доступа обработчик формы action_page.php и как вообще нужно его защищать? Просто там как раз важная информация.
Из этого вопроса Как ограничить доступ к файлам PHP?, я понял что при правильной настройке веб-сервера не надо дополнительно что то делать. Тогда вопрос, где в Nginx, посмотреть правильно ли настроен сервер и как правильно настроить что бы обезопасить action_page.php?

Comments

[FanatPHP]

Просто там как раз важная информация

.

А это что ещё за очередная влажная фантазия? Где "там"? Какая информация? Почему?

[210mev]

Там CURL запрос с апи-ключом, просто сделал один ПХП файл, что бы бэкэнд не делать для добавления пользователя.

[FanatPHP]

И? От чего этот курл запрос защищать-то?

[210mev]

Апи-ключ хочу защитить.

[FanatPHP]

От чего?

[210mev]

FanatPHP, Как от чего? Что бы не попал в чужие руки.

[FanatPHP]

А что - были прецеденты?

[210mev]

FanatPHP, Нет, но одного будет достаточно, с апи-ключом можно всю базу потереть, база к слову стороний сервис, ограничить возможность удаления не могу.

[FanatPHP]

Сотри его с сервера и всех носителей. Это будет самый надёжный способ

Answer 1

[FanatPHP]

Не бывает никакого "непрямого" доступа к обработчикам форм. Доступ всегда прямой.
Не бывает никаких отдельных специальных обработчиков форм. Твой обработчик - это обычный пхп скрипт, такой же как все остальные. И защищать его надо не больше и не меньше, чем остальные скрипты.

Поэтому надо выкинуть эти фантазии из головы и заняться чем-нибудь полезным.

Comments

[210mev]

Вопрос больше в том, как нужно оброботчик формы защищать. Или он защищен настройками веб-сервера?

[Sanes]

Что значит не бывает? Файлы ядра приложения просто так выносять за пределы домашней директории?

[FanatPHP]

210mev, ещё раз. Не бывает никаких отдельных специальных обработчиков форм. Твой обработчик - это обычный пхп скрипт, такой же как все остальные. И защищать его надо не больше и не меньше, чем остальные.

[210mev]

FanatPHP, Олтично. Как защитить обычный пхп скрипт?

[FanatPHP]

От чего?

[210mev]

FanatPHP, От вас я так понимаю нет защиты, тогда ну хотя бы от кражи апи-ключа, который прописан в пхп скрипте.

[FanatPHP]

Не давать никому пароль к фтп

[Sanes]

FanatPHP, бывает такое, что ломается веб-сервер и все файлы на виду. Как он ломается, другой вопрос. Хоть от кривых рук. Сути не меняет. Поэтму и выносят за пределы домашней директории.

[Сергей delphinpro]

Sanes, а нефиг конфиги класть в документ рут

[Sanes]

Сергей delphinpro, я об этом и говорю.

[Дмитрий]

210mev, ключи храните за пределами документ_рут, пых их прочитает, даже если упадёт сервер и отдаст пых текстом, его нельзя будет получить

[FanatPHP]

Sanes, все это очень правильные и красивые рассуждения, но наш гений спрашивал не про это

[Gennady S]

210mev, непрямой доступ бывает: уберите обработчик формы из публичной директории. Ответ от FanatPHP попросту неверный и вызывающий.

FanatPHP, поправьте ответ. "пхп скрипт, такой же как все остальные" — некорректное утверждение, скрипт может иметь разные права доступа на уровне файловой системы, скрипт может находиться вне публичной директории, и даже вне FTP доступа и так далее. Ваш ответ просто грубость.

Answer 2

[Gennady S]

Нет, файл-PHP защищать не нужно, если веб-сервер передает его на обработку PHP-интерпретатору. То есть, если сценарии вообще работают, а не выдается содержимое PHP-файла при запросе по адресу ваш-сайт/action_page.php. Большинство PHP-движков спокойно хранят настройки в PHP-скриптах.

Однако, если данные очень критичны и есть боязнь сбоя сервера (например, администратор допустит случайную и временную ошибку, открыв доступ к содержимому скриптов, исключив интерпретацию), можете вынести все приватные данные за пределы action_page.php, например, в action_page_handler.php , в свою очередь находящийся за пределами публичной директории, и подключаемый, скажем, как require __DIR__ . '../../scripts/action_page_handler.php'; (и это будет единственная строчка в action_page.php, которую кто-либо когда-либо сможет увидеть).

Answer 3

[Ninazu]

1. Создай единую точку входа, и оставь ее в корне сайта, остальные файлы вынеси за пределы (Это не только сделает твое приложении более гибким, понятным, и структурированным, но и в случае отваливания веб сервера, такое когда-то у меня было, после кривого обновлении до php7, исходный код показывался браузером)
2. Не забудь про SQL иньекции. Никакой конкатенации или вставок PHP. Только плейсхолдеры и байндинг
3. Если есть возможность загружать файлы, нужно исключить возможность исполнения в этой папке.

Comments

[FanatPHP]

Все это очень красивые и даже в чем-то правильные слова, но надо только понимать, что при том уровне знаний, который демонстрирует автор, он с этой точкой входа нагородит себе LFI. И вместо воображаемой проблемы поимеет себе реальную дыру, через которую его драгоценный ключ утащит любой школьник

[Ninazu]

Ну чтоб небыло LFI, нужно жесткие правила именования и простенький класс роутинга. Либо посмотреть в сторону какого-то фреймворка, пока наберется знаний, и созреет к самописному)))
Как пример, я с этого начинал
https://github.com/nikic/FastRoute

[FanatPHP]

Это все для него китайская грамота. Ему сейчас важно понять только одно - что вопрос к скрипту через форму ничем технически не отличается от запроса через ссылку.

Answer 4

[Narts]

Поставь isset или простенькую валидацию на данные и в случае какой-то ошибки делай редирект на страницу с ошибкой
Если ты о том, что перейдя по ссылке со скриптом можно увидеть его код, то на сервере можно запретить просмотр этих файлов

Comments

[FanatPHP]

Ещё один пишет, не приходя в сознание.
Что ты собрался запрещать, родной? Доступ к обработчику формы?

Answer 5

[alekssamos]

Если будут проблемы с интернет соединением на сервере или упадёт сайт, когда ключ может показаться в тексте ошибки. Для надёжности ещё отключи вывод всех ошибок