Если запретить выполнение php в определенном каталоге, это будет безопасно?

Question

[rinaz22]

Всем привет. Делаю что-то на подобии конструктора сайтов. У пользователей в админке есть возможность создавать файлы и редактировать код. Если есть такая возможность, то можно и будет создать там вредоносный код или еще какую-нибудь пакость. Все проекты хранятся в одном каталоге(projects/user_project/...). user_projects - это папка определенного пользователя(т.е. у каждого своя такая папка). Если я через htaccess запрещу выполнение php, то это будет безопасно? + нельзя запретить выполнение html, т.к. сайты будут в html.
Если да, то что еще нужно запретить, кроме php?

Comments

[Adamos]

Задача о семиугольном треугольнике.
Или у ваших пользователей есть возможность создавать и запускать РНР-скрипты, или зачем вообще обрабатывать файлы из пользовательского каталога интерпретатором РНР?
Вообще, вопрос предполагает кучу всякого по умолчанию, хотя оно совершенно не обязательно. Что у вас Апач и только Апач, например.

[rinaz22]

Adamos, вот поэтому я и хочу отключить выполнение php в этих каталогах

[Adamos]

rinaz22, вопрос в том, вот почему вы его вообще включили.

[rinaz22]

Adamos, эмм... Чтобы работала система моего сайта, ведь надо же как-то работать конструктору.

[Adamos]

Ваша CMS с конструктором лежит в пользовательских папках? Вообще-то она должна существовать решительно отдельно. В том-то и цимес, что исполнение РНР должно производиться только там, где предполагается код РНР. А не в каждой папке, вываленной в публичный доступ - картинки там всякие, например, должны отдаваться без обработки, вне зависимости, что туда запихнули под видом картинок.

Вообще, в современных системах предполагается роутинг, который любые запросы, которые должен выполнять РНР, передает в единый скрипт, решающий, что с этим запросом делать дальше, а не исполняющий скрипты там, где им оказалось быть.

[rinaz22]

Adamos, да нет же. Файлы моего сайта лежат в корне, а файлы пользователей в каталоге. Я и так использую роутинг. Я хочу запретить php только для каталога, где лежат проекты пользователей. С этим и вопрос, будет ли это безопасно?

[Adamos]

rinaz22, ну откуда нам-то знать, что вы там наваляли с роутингом и прочими настройками?

[rinaz22]

Adamos, просто мой вопрос был вообще про другое, вот и не стал писать лишнее

[Adamos]

rinaz22, вопросы безопасности - целостны, они не бывают "про другое". Любая мелочь может скрывать за собой уязвимость.

[rinaz22]

Adamos, ну так что на счёт вопроса, будет безопасно, если только запретить выполнение php и т.п?

[Adamos]

rinaz22, ответ - если запретить выполнение РНР и убедиться, что вы исключили выполнение РНР из папок пользователей, то у вас, возможно, не будет выполняться РНР из папок пользователей.

Можно, например, запретить выполнение из папки пользователя, но прописать в своем коде
<?php include('path/to/user/file.html'); ?>
и всей наведенной безопасности придет... в негодность.

[rinaz22]

Вот про это не совсем понял, почему?

Можно, например, запретить выполнение из папки пользователя, но прописать в своем коде
<?php include('path/to/user/file.html'); ?>
и всей наведенной безопасности придет... в негодность.

[ThunderCat]

rinaz22, по тому что в папке пользователя нельзя исполнять скрипты, но читать из нее можно, а выполнять то что прочитал будет уже другой скрипт, тот который содержит строку <?php include('path/to/user/file.html'); ?>, а ему все можно.

[rinaz22]

ThunderCat, а это можно как-то решить? Пока сделал так:
echo file_get_contents("path/to/user/file.html");
Но кажется так не очень правильно

[ThunderCat]

rinaz22, для таких вещей больше подходит readfile(), он производительнее и менее ресурсоемкий, а в остальном сложно сказать что и где делать, не видя всего что там есть. Тыканье пальцем в небо не мой профиль )

[ThunderCat]

rinaz22, и тут еще есть вопрос безопасности на стороне клиента, так как от js в этом коде вообще ничего не защищает...

Answer 1

[Stalker_RED]

Запрети вообще все, потом разреши нужное.

Comments

[rinaz22]

Тогда придется разрешать очень многое

[Stalker_RED]

rinaz22, судя по комментариям, у вас довольно странные представления о том, как вообще работает веб-сервер, и какой должна быть структура проекта. Этакий привет из 1998, или вроде того.

[rinaz22]

Stalker_RED, у меня нормальная структура и сайт работает через роутинг.
Просто например, есть шрифты, картинки. Эти форматы же нужно будет разрешить.
А на счет моих знаний о сервере, вы правы, я не очень хорошо про это знаю

Answer 2

[Максим]

Запретите создание файлов php. Для этого можно использовать возможности сервера, но лучше делать это на уровне кода и в дополнение использовать сервер.

Comments

[rinaz22]

А как можно использовать возможности сервера?

[Максим]

rinaz22, вы можете запрещать доступ к файлам и папкам любого типа. Так же можно настроить доступ к любому файлу используя регулярные выражения. Однако эти настройки больше статические и они в основном выставляются для более серьезных прав доступа, которые критичны. А в проекте уже права могут быть на уровне кода с использованием БД

Answer 3

[Виктор Таран]

<IfModule mod_mime.c>
        <Files ~ \.(php|php3|php4|php5|php6|phtml|pl|asp|aspx|cgi|dll|exe|shtm|shtml|fcg|fcgi|fpl|asmx|pht|py|psp|rb|var)>
                SetHandler text/plain
                ForceType text/plain
        </Files>
</IfModule>
<IfModule mod_php5.c>
        php_flag engine off
</IfModule>

Answer 4

[Алексей Сундуков]

Если я через htaccess запрещу выполнение php, то это будет безопасно?

А зачем там вообще выполнение PHP? И другой вопрос, каким образом пользователи редактируют содержимое этих файлов?

Comments

[rinaz22]

Я же все написал в вопросе.

У пользователей в админке есть возможность создавать файлы и редактировать код.

[Алексей Сундуков]

rinaz22, т.е. через PHP так? А если так, то получается через код вы контролируйте в каком виде и куда будут записываться файлы. Значит, можете убрать любой PHP код там.

[rinaz22]

Алексей Сундуков, там и так не будет php, но не доброжелательные пользователи могут создать и запустить

[Алексей Сундуков]

rinaz22, а можно пояснить, каким образом? Там есть ftp? Если файлы создает движок, если он при сохранении убирает PHP код из файлов, то загрузить левый исполняемый код не получится.