Помощь Безопасность в DLE и доступ к файлам

Тема в разделе "DLE", создана пользователем danneo, 14 янв 2014.

Информация :
Актуальная версия DataLife Engine 11.3
( Final Release v.11.3 | Скачать DataLife Engine | Скачать 11.3 demo )
Нужно ли обновляться | Как обновиться | Изменения в шаблонах
> Нет русских символов <
[Приватная тема DLE (Все подробности в ЛС к модератору раздела)]

Версии 11.2 и ниже - уязвимы!

Локализации | F.A.Q. | Внешний вид
Правила раздела | Правила форума
Обсуждение хайда карается баном!
В каждом сообщении указывайте версию DLE, которого они касаются!
Модераторы: killoff
  1. danneo

    danneo Честный

    Регистр.:
    13 ноя 2007
    Сообщения:
    1.453
    Симпатии:
    113
    Разместил модуль в новой версии DLE (10.1). Раньше разрабатывал модуль на 10.0, и там ничего подобного не было, никаких файлов htaccess не создавал. Даже в engine/modules/ не было после установки. Видимо это в новой версии появилось...
    А проблема в том, что в шаблоне, в классе (php файл) есть подключение js,css файлов. Дак при выводе они не подключаются. При прямом обращении к этим файлам то же самое (доступ запрещен).
    Добавил файлы .htaccess в каталог модуля с шаблонами /tamplates/vareal/my_modul/.htaccess и стало все работать.
    Содержание .htaccess
    Код:
    Order Deny,Allow
    Deny from all
    Я это особо не изучал. Подскажите, пожалуйста, как правильно в DLE все это дело устроить?
    php файлы модуля лежат в своей папке, шаблоны, стили, js в другой (в шаблонах).
     
  2. Горбушка

    Горбушка Ищу её...

    Регистр.:
    2 май 2008
    Сообщения:
    3.175
    Симпатии:
    2.195
    Прямых обращений к модулю быть не должно - только через файл index.php. Любые AJAX должны находиться только в папке /engine/ajax/. Что касаемо шаблонов, это защита от прямого доступа к файлам .tpl. Файлы js и css необходимо хранить в отдельной от tpl папке и прописывать в неё доступ.

    П.с. устное предупреждение за отсутствие префикса.
     
    danneo нравится это.