антиинклуд

[sultan347]

Нужно товарищу выделить фтп папку на сервере, он туда будет выкладывать хмл файлы, а мой скрипт его обрабатывать. Вопрос такой, как надо себя обезопасить, что бы не положил пхп файл и инклудил

 

[tostrss]

Считывать файлы не инклудом а fopen + fgets, потом xml парсером.
Ну а элементы на валидность уже у себя проверять.

 

[sultan347]

нет, вопрос именно такой, что бы не залил в эту папку пхп файл (вроде его говорят эксплоит) и через веб не запустил свой скрипт.

 

[tostrss]

Так пропиши в .htaccess
deny from all

Это запретит к папке доступ из веба, а чтобы по фтп не удалил его, поставь соотвествующие права.

 

[tlittle]

нет, вопрос именно такой, что бы не залил в эту папку пхп файл (вроде его говорять эксплоит) и через веб не запустил свой скрипт.

Ээээ. А эта папка у тебя в веб-структуре? Почему нельзя ее вынести на уровень вверх?
Грубо говоря, если сайт у тебя лежит в /home/site.ru/public_html, то аплоадит он пусть в /home/site.ru/upload
Ну а так - положи туда файл .htaccess с содержимым

Deny from all

и сделай на него права только чтение от рута, чтобы чувак не смог удалить или исправить.

 

[Darkmind]

Нужно товарищу выделить фтп папку на сервере, он туда будет выкладывать хмл файлы, а мой скрипт его обрабатывать. Вопрос такой, как надо себя обезопасить, что бы не положил пхп файл и инклудил

Создай на директорию правило:

<FilesMatch "\.(pl|php|cgi|phtml)$">
Order Allow,Deny
Allow from 127.0.0.1
Deny from all
</FilesMatch>

При любом запросе извне файлов с перечисленными расширениями будет выбрасываться Forbidden.

 

[phillip]

у меня вот обратная ситуация. хочу в свой скрипт приделать такую фичу что инклюдится страница, на которой написано типа Доступна новая версия, обновитесь. хочу сделать через include. Но если Include удаленных файлов запрещен на хосте, то тогда работать не будет. А вот в вордпрессе как-то сделано что все равно ведь работает. как там то сделано?

 

[Kloster]

у меня вот обратная ситуация. хочу в свой скрипт приделать такую фичу что инклюдится страница, на которой написано типа Доступна новая версия, обновитесь. хочу сделать через include. Но если Include удаленных файлов запрещен на хосте, то тогда работать не будет. А вот в вордпрессе как-то сделано что все равно ведь работает. как там то сделано?

Сделай подгрузку Javascript, а в нем выведи нужную информацию об обновлении. Посмотри на монстров - Яша и Гуля таким же образом грузят свои баннеры.

 

[Darkmind]

Кроссдоменный AJAX - не лучшее решение. Инклюдить удалённые файлы крайне нехорошо. Используйте CURL - удобно и безопасно.

 

[poison-b13]

запусти apache или какой у тебя там web server, с ограничениями на php к той папке которую расшаришь,
пропиши в основном конфиге apache, или же в конфиге для userdir.

php_admin_flag safe_mode on
php_admin_value safe_mode_exec_dir /home/hoster1/www
php_admin_value open_basedir /home/hoster1/www

под себя только поправь пути,
можно еще кучу ограничений навесить через конфиг php.ini