Безопасно ли предоставлять доступ к конфигурационным файлам yii из веб-интерфейса?

Question

[Роман Макаров]

Сейчас думаю, как организовать хранение параметров, настраиваемых администратором сайта.

Хранить в бд считаю не оптимальным по производительности решением. Хранить же в php-файлах - даст выигрыш в скорости, но, по-моему, может повлиять на безопасность. Хотелось бы узнать, насколько безопасен такой подход к хранению конфигурации?

Answer 1

[Александр Литвинов]

К самим файлам конфигурации не безопасно. Надо как-то проверять на валидность, что бы небыло возможности менять сам код.

Comments

[Роман Макаров]

Ну к файлам конфигурации yii я доступ предоставлять не буду, только к отдельному файлу, который хранит в себе пользовательские параметры(свойство params CWebApplication). В прослойки для их сохранения/редактирования добавлю модель, свойства которой и будут хранить их значения. Ей же и буду проверять и сохранять.

[Александр Литвинов]

@vollossy Тогда думаю ничего страшного, могут быть детали зависящие от характера данных. Возможна php инъекция, например, если значение является строкой и не сравнивается со списком возможных значений.

[Роман Макаров]

@Sander_Li Ну доступ к интерфейсу есть только у админов, так что если и будет php инъекция, то либо при краже пароля либо, если админ сам совершит ошибку. В общем, думаю, что вопрос решен, спасибо!

Answer 2

[portfelio]

Вполне безопасен. Храните настройки в виде класса/функции, возвращающих значение или кешируйте конфигурацию в memcached.