Как заблокировать доступ к папкам и файлам или перенаправить запрос?

Question

[GoodPirojok]

Доброе утром, подскажите такой момент
У меня есть папка system
При запросе site/system
В браузере открывается эта папка и видны все файлы.
Проверкой if($_REQUST['path'] === "system) и выполнением header("location:index.html") ничего не меняется и открывается папка при запросе.
Как решить проблему с доступом к папке и ограничению к доступу некоторых фалов, права на которые будет иметь только администратор?

Answer 1

[Stalker_RED]

В этой папке создайте файл .htaccess и пропишите в нем
deny from all

Еще лучше перенести папку на уровень выше, чтобы она была не ВНУТРИ вашего document_root, а РЯДОМ с ним.

Comments

[GoodPirojok]

Спасибо, а как сделать доступ к ним от имени или страницы администратора?
При запросе пхп файлов из этой папки лесом посылает.

[Stalker_RED]

GoodPirojok, теперь можно разобраться с basic auth, указать там в htaccess юзера и файл с паролем.

Либо сделать вход через PHP, как у всех. Единая точка входа, хеш пароля в базе, все такое.

[GoodPirojok]

Stalker_RED, спасибо, а если пароль хранить не в базе, а в самом administrator.php?
Это же безопасно, ведь php файл невозможно скачать с сервера?
И даже делая на него запрос, увидеть пхп код с паролем невозможно?

[Stalker_RED]

GoodPirojok, если все правильно настроено, то да.

[GoodPirojok]

Stalker_RED, а правильно, это как? )

[FanatPHP]

отвечаем не на тот вопрос который задан и ловим неуловимого джо в одном ответе
уважаю, мастерство не пропьёшь :)

Answer 2

[prrrrrrr]

В браузере открывается эта папка и видны все файлы.

сделайте index.html в каталоге system и пропишите редирект на js например

Comments

[GoodPirojok]

Спасибо, а в плане надёжности это надёжно? )

[prrrrrrr]

GoodPirojok, проблем связанных с этим вопросом еще не встречал )

[Stalker_RED]

GoodPirojok, это уберет список. Доступ все равно останется для всех.

[GoodPirojok]

Stalker_RED, а как именно смогут получить доступ, если в этой папке и во всех других, там будет index с перенаправлением?

[Stalker_RED]

GoodPirojok, а ты не папку, а имя файла напиши в адресную строку

[prrrrrrr]

Stalker_RED,

а ты не папку, а имя файла напиши в адресную строку

ну так для этого надо знать полное правильное имя файла

[Stalker_RED]

prrrrrrr, вот я сейчас пролистаю твои предыдущие вопросы, посмотрю, может ты оставлял где-то ссылку на сайт. а потом зайду на
твойсайт.ру/system/administrator.php и у меня будет админский доступ. Круто же!

А китайские боты, они вообще по ВСЕМ сайтам бродят, и твой рано или поздно найдут, если ты его хоть где-то линканешь.

Безопасность через неясность - довольно спорная штука, и работает только пока ты неуловимый джо.

[prrrrrrr]

Stalker_RED, логично, что доступ в админку проверяют по токену, не?

Answer 3

[FanatPHP]

В браузере открывается эта папка и видны все файлы.

Ну и что?

Вообще конечно листинг это неаккуратненько.
Если у тебя апач, то добавиь .htaccess со строчкой
Options -Indexes

Comments

[GoodPirojok]

Вообще конечно листинг это неаккуратненько.
Немного не понял, я только начинаю осваивать пхп.

Options -Indexes
Что она будет делать и как мне оставить доступ только для администратора?

[FanatPHP]

Что она будет делать

файлы не будут показываться

как мне оставить доступ только для администратора?

доступ к чему?

[GoodPirojok]

FanatPHP, как пример выше
deny from all
эта команда блокирует доступ всем и когда я захожу в панель администратора и делаю запрос, то для него тоже блокируется доступ ко всем папкам и файлам.

А это команда просто скроет видимость всех файлов и папок, но доступ у меня к ним останется, правильно?
Options -Indexes

[FanatPHP]

правильно

[GoodPirojok]

FanatPHP, спасибо, а возможно как-то сделать так, чтобы на все запросы, которые идут к существующим папкам, которые начинаются с system, включая саму system

site/system
site/system/registration

А так же не существующим
site/system/city

Был ответ, что доступ запрещен, а не ещё альтернативный, что папки или файла не найдено, если его не существует?

[FanatPHP]

ничего не понял

нужно чтобы доступ запрещен или доступ только админам?
и при чем здесь что папки или файла не найдено?

[GoodPirojok]

FanatPHP, доступ только админам

[FanatPHP]

про авторизацию слышал что-нибудь? пароли там, сессии?