حماية المجلد بال htaccess كفيله بحماية ما بداخله ؟؟؟؟

[Danger_Zone]

السوؤال مبين من عنوانه

[إنترنت بلس]

أنا لا أعرف إذا كانت لهذه الطريقة عيوب .. شخصيا أعتقد أنها كافية ..

[Danger_Zone]

هل هي دائما كافيه

حاليا احتاجها لحماية مجلد ملفات إدارة بسيطة لكني اتسائل اذا كانت فعالة وآمنه لما لا يتم استخدامها في كثير البرامج مع انها توفر الجهد والوقت

[Myrosy]

نعم هي كفيلة بحمايته ...
وهي أأمن طريقة ولم أسمع بأنه تم اختراقها من قبل ...

[ياقلبي]

طيب لو استخدمناها في حذف ملفات لا نريدها لو قام احد برفعها للموقع ؟؟

مثلا نبيها تحذف ملف ( php )

هل هي كفيلة بالحماية او لا ؟

ولو افترضنا ان الملف رفع هكذا test.jpg.php او test.jpg.gif.php

هل تقوم بالتشيك على اول امتداد test.jpg.php او على اخرة test.jpg.php

<= داخل عرض

[إنترنت بلس]

أنا لسه شايف طريقة أحد الإخوة نقلها مشكورا من منتدى آخر .. المشاركة اسمها الخبراء في الاختراق الرجاء الدخول .. وطريقة ممتازة بصراحة .. وأعتقد htaccess كفيلة بالحماية لسبب: أنها أول شيء ينفذ مع كل طلب للصفحات بالموقع ..

[Myrosy]

الاخ يا قلبي
سواء كان الملف php او gif أو jpg أو ...الخ
السيرفر يقوم بقراءة وتنفيذ الأوامر في ملف htaccess ومن ثم يقوم بعرض ما في المجلد ...
هو كبوابة المجلد ( سكورتي ) وأعتقد بأن مسماه واضح ولا يحتاج الى شرح...
لا تفكر بكيفية إختراقه .. لأنك لن تتمكن من ذلك إلا عن طريق تغيير أولويات قراءة الملفات في السيرفر نفسه أي في الـ Opreating System

[ياقلبي]

شكرا لك اخي انترنت بلس والشكر موصول ايضا ً اليك اخي Myrosy

لكن لا اتكلم عن اختراق الـ htaccess

الذي اريد معرفتة هو .. كيف يعتمد ملف الـ htaccess على قراءة اسماء وأمتدادات مالفات المرفوعة للمجلد

هل هو يقوم بالتشيك على اخر امتداد للملف ؟؟

ولو قمت برفع ملف على هذا الشكل test.jpg.php هل سيقوم بالتشيك على jpg وبعدها ينتقل الى php اخر امتداد

ام انة يقوم بالتشيك على اول امتداد ياتي بعد النقظة (.) ويهمل مابعدها حتا لو وضعت الملف بهذا الشكل test.jpg.php فسيقوم بأعتبارة على انة ملف صورة وليس ملف php

الذي اريدة هو الية عملة ماهي ؟

ارجو ان اكون قد اوضحت لك ..

وشاكر لك ومقدر

[riya]

ياقلبي
الملف
مايمنع تحميل ملفات php
بتنرفع لمركز التحميل عادي اذا كن فيه ثغره مثلا
ولكن بعد الرفع وطلبها من المتصفح
بتفتح على شكل ملف تكست ولن تنفع بشي
سيستطيع قرائة الملف فقط لا اكثر
ما يستفيد منه ابدا

[إنترنت بلس]

فهمتك .. يقوم بالتشييك على ما تطلبه منه يعني طريقة كتابتك في htaccess هي التي تحدد .. ممكن تقول له اللي اخره كذا كذا .. أو اللي بعد أي نقطة في اسمه كذا كذا (على اعتبار أن الملف ممكن يكون في اسمه نقطة غير النوع) ..

على فكرة ..
إذا كان كل كلامك عن مراكز التحميل فلا تعتمد على htaccess .. لأنه كما قلت طريقة كتابتك في htaccess قد تترك ثغرة لم تغطها أنت فيه .. لذلك دائما أفضل طريقة هي التأكد من نوع الملف عن طريق php ..

[ياقلبي]

اشكرك اخوي ريا ... فقد بينت لي المطلوب واوضحت لي ماكنت اجهله بخصوص عمل ملف الـ htaccess


والشكر موصول اليك ايضا اخي انترنت بلس .. فعلا هذه مشكلة ايضا ً اذا كان الملف يسفتح لدي ثغرات متعلقة في برمجة الـ php

ونعم انا اريدة لكي اضعة في اي مجلد يحمل الترخيص 777 لكي يكون مكمل للحمايلة لو حصل ثغرة في احدى السكربتات التي تستخدم التصريح 777 في احد مجلداتها .. السوأل الان هل هو كفيل بالحماية ؟؟

وأريد منك الاجابة على هذه النقطة اخي انترنت بلس مشكورا ...

مارايك في هذه الدالة ..

كود PHP:

explode("." ,$file_name,2); 


هل هي كفيلة بمنع التلاعب في امتداد الملف ؟ على ان يكون هكذا مثلا test.jpg.php

وشي اخر هل يوجد دالة او طريقة افضل وأقوى منها من حيث التأكد من اسم وأمتداد الملف .. ام هي كافيةووافية ؟

بارك الله فيكم

[إنترنت بلس]

هذه هي الطريقة السيئة أو "البلدي" في التحقق من نوع الملف .. لأنك هكذا لا تتحقق من نوعه .. التحقق من نوع الملفات له دوال خاصة به في المانيوال والله لا أذكرها الآن لأني مشغول .. لكن ادخل المانيوال وابحث عن:
mime type
وسيعطيك دالة معرفة نوع الملف .. وإن كان عيبها على ما أذكر احتياجها لمكتبة برمجية مستقلة تضاف على PHP ..
وابحث عن:
image type
وسيعطيك دالة معرفة نوع الصورة ..
أعتقد سكريبت اتصل بنا الإصدار الثاني الذي فيه مرفقات فيه طريقة التأكد من نوع الصورة ..

[ياقلبي]

شكرا لك اخي انترنت بلس .. واعانك الله على مشاغلك

لكن المشكلة تكمن في ان السكربت ليس لتحميل الصور فقط بل انه يستخدم لرفع الملفات كافة

ولذالك وضع فية هذه المصفوفة ...

كود PHP:

$types = array("zip", "rar", "swf", "txt", "gif", "jpg", "png", "GIF", "TXT", "ZIP", "JPG"); 


وهذا هو الملف uploader بالمرفقات :shy:



لو امكنك دراستة والتعديل علية بحكم خبرتك .. ساكون لك من الشاكرين .. لاني لاافقة شي بالي اتش بي سوا الامر انكلود

مع العلم ان الملف لايتعدى بضعة سطور قليلة التي فيها الشروط

وأذا وقتك لا يسمح فأنت معذور اخي انترنت بلس

لا حرمك الله الاجر

[إنترنت بلس]

لا توجد مشكلة يا أخي ..
لكن الطريقة تتطلب تركيب مكتبة برمجية ولا أعرف إذا كان بإمكانك تركيبها على السيرفر أم لا .. كذلك الطريقة موجودة بالفعل في المانيوال .. سوف أحضر لك الأمر الآن ..

أوكي
http://www.php.net/manual/en/functio...ntent-type.php

[ياقلبي]

والله ماعرفت شي :con2:

شكرا لك اخي انترنت بلس