- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Как снизить ДРР до 4,38% и повысить продажи с помощью VK Рекламы
Для интернет-магазина инженерных систем
Мария Лосева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
В чём конкретно дыра?
В том, что когда либо вам в папочку положат файл backdore.html и он отработает на ура, а в фильтре расширений не будет запрета на html, потому что html файлы лезут много от куда, включая счета на оплату и так далее.
---------- Добавлено 04.04.2016 в 15:23 ----------
Ну логичный вопрос, как привести к одному виду (скажем урлы только .HTML) и без дыр? :)
Через RewriteRule например. Проверить что файла page123.html не существует и перенаправить запрос на page123.php
Aisamiery, кто положит? и почему он не положит backdore.php до кучи?
Aisamiery, кто положит? и почему он не положит backdore.php до кучи?
Потому что на uploader'ы файлов стоят ограничение по расширениям скриптовых языков и html к ним не относится. Плюс в папочке с upload может лежать .htaccess (он в принципе должен лежать там) со значением:
В случае если вы добавите своё расширение, то тут оно уже не отработает.
Вообщем схем много, лучше не делать своими руками бреши в безопасности на будущее.
PS. Я видел сервера, где модуль php был типом по умолчанию, там можно было даже вставить код php в картинку и он отработал бы как надо.
---------- Добавлено 04.04.2016 в 15:43 ----------
Aisamiery, кто положит? и почему он не положит backdore.php до кучи?
А еще можно стать параноиком и запретить прямой доступ к файлам с расширением .php :) Тем более если вы знаете, что на вашем сайте таких файлов быть не должно.
Aisamiery, кто положит? и почему он не положит backdore.php до кучи?
Присоединяюсь к вопросу.
Не очень понятно, почему такая запись в .htaccess открывает дыру.
update
Aisamiery, а откуда возьмется uploader на html сайте?
Aisamiery, а откуда возьмется uploader на html сайте?
Гипотетически (историй может быть много).
Например вам понадобится сделать форму, в которую можно крепить платежку об оплате услуг с отметкой банка. Банк клиент возвращает платежку в html формате.
Вы попросите программиста, допилить вам этот функционал, программист не будет в курсе, что html файлы у вас могут выполнять php код ( ну это не логично, как минимум ), вы конечно про это благополучно забыли и не сказали программисту, ведь уже год прошел с того момента.
И вот через некоторое время, ваш хостер блочит ваш акк за спам... :)
Я не говорю, что это дыра ежеминутная, как только вы это сделали, ваш сайт сразу же ломанут. Эта та дыра, которая расчитана на человеческий фактор. Я опять повторюсь, сценариев развития много, просто нет смысла вносить такие ошибки изначально, это грабли на которых многие наступали. Конкретно вы, возможно и не наступите, но зачем изначально стрелять себе в ногу.
Файлы с html должны быть html, а файлы с php кодом должны быть с расширение php, тип должен соответствовать своему обработчику, тогда такие приложения более предсказуемы. Тем более мы же не знаем, что там в будущем будет, по этому и придуманы стандарты :)
Всё равно не понимаю, что тут нелепого 🙄.
Ну разные расширения у разных страниц, и что с того? 😕
Зачем им быть всенепременно у всех страниц сайта одинаковыми? 😮
А вы сами встречали такие сайты, где скаежем 90% страниц .html, остальные - .php или еще какие? Я просто не видел таких, поэтому у меня сомнения...
А вы сами встречали такие сайты, где скаежем 90% страниц .html, остальные - .php или еще какие? Я просто не видел таких, поэтому у меня сомнения...
Встречал не встречал, я такой сайт сделал :p.
Там есть заполнение формы, которая отрабатывается, - вот отработка заполненной посетителем формы и делается через php. Это одна, по-моему, страница и есть такая, где действия надо делать.
А все остальные страницы (включая то, где есть форма) - в html'е, поскольку там нету ничего, чего нельзя сделать через html (и что требовало php).
У меня мини сайт на HTML простом. Мне на одну страницу надо вставить онлайн тест написанный на PHP. Если у меня все страницы .HTML и тут я вставлю .PHP страницу, это будет нелепо. Как поступить?
<!--#include virtual="test.php" -->
У меня мини сайт на HTML простом. Мне на одну страницу надо вставить онлайн тест написанный на PHP. Если у меня все страницы .HTML и тут я вставлю .PHP страницу, это будет нелепо. Как поступить?
Я тут подумал. Вы можете вставить результат работы скрипта через iframe. Или пользовательскую логику сделать через ajax, а обработчик будет на php, но как страницы существовать не будет.
А почему нельзя просто в .htaccess сделать RewriteRule с test.html на test.php и будет как HTML без всяких дыр и т.д.