Сообщения

1

PHP / Первостепенная Защита Сайта На Php

« : 08 Августа 2009, 20:14:43 »

Продолжаю изучение защиты сайта.

Недавно прочел несколько статей с предложением отключения некоторых функций PHP.
Но так как хостинг у меня только виртуальный и возможности править php.ini нет

Придется править .htaccess
Подскажите, поправте что не так. Что вкл а что выкл ?
Вот несколько директив / функций которые как я понял желательно отключить:


safe_mode
 - проверяет владельца запущенного скрипта и если скрипт пытается открыть
какой-либо файл - делает это с правами этого владельца

Код: [Выделить]

php_admin_flag safe_mode on


register_globals
 - Запретить создание глобальных переменных из пользовательского ввода

если включена, переменные GET, POST, Cookie, Server будут регистрироваться как глобальные переменные.
Если директива выключена, то глобальный доступ можно получить через массивы $HTTP_ENV_VARS, $HTTP_GET_VARS, $HTTP_POST_VARS, $HTTP_COOKIE_VARS, $HTTP_SERVER_VARS

Код: [Выделить]

php_flag register_globals 0
php_value register_globals 0


allow_url_fopen
 - запрет подключению сайта к удалённым страницам, скриптам.
это несколько замедлит работу программы - при каждом вызове *.php скриптов
будет происходить обращение к файлу .htaccess

Код: [Выделить]

php_value allow_url_fopen 0
php_flag allow_url_fopen 0


phpinfo
запретить опасные функции:

   

Код: [Выделить]

disable_functions=phpinfo,system,passthru,cmd


expose_php
 - директива сообщает, может ли PHP оповещать пользователей о своем существовании на данном сервере, например, добавляя HTTP заголовок.

   

Код: [Выделить]

expose_php off


max_filesize
Ограничить размер загружаемого файла на сервер
   
   

Код: [Выделить]

upload_max_filesize = 2M


Ограничения на время работы

Код: [Выделить]

max_execution_time = 30
 

Отключить вывод ошибок
И включить директиву записи ошибок в лог-файл сервера.

В результате такого запроса, становится известен путь к скрипту и имя файла.
Если нет доступа к php.ini, можно добавить в начало скрипта строку error_reporting(0); это подавит вывод ошибок.

Код: [Выделить]

php_flag display_errors off
php_flag log_errors on
php_value error_log /home/ваш_путь/web/php_error.log
php_value error_reporting 2039


magic_quotes_gpc
 - если включена, автоматически добавляет слеши к данным пришедшим от пользователя - из POST, GET запросов и cookie.

Код: [Выделить]

php_flag magic_quotes_gpc 0


magic_quotes_runtime
 - если включена, автоматически добавляет слеши к данным, полученным во время исполнения скрипта - например, из файла или базы данных.

Код: [Выделить]

php_flag magic_quotes_runtime 0


Под вопросом:
php_value magic_quotes_sybase   Off
php_value post_max_size 20M
php_value max_input_time 200


PS
Немного запутался в следующем:
1.   safe_mode должен быть выключен или выключен?
2.   функции должны включатся с помощью php_value или php_flag ?  - поэтому некоторые примеры представлены  в разных(двух) вариантах.
3.   как включить некоторые функции в htaccess мне не удалось узнать поэтому они написаны в виде настроек для php.ini

2

Всё о Html / Помогите: нужно сделать полу-прозрачный, градиентный <div>

« : 24 Октября 2007, 02:54:40 »

Спасибо!

Но помогло не особо
Максимум что получилось из моей картинки (779х422px) это 250кб

3

Всё о Html / Помогите: нужно сделать полу-прозрачный, градиентный <div>

« : 21 Октября 2007, 20:41:26 »

CGVictor
 вот этого я и боюсь - картинка на 500кб получатся!

4

Всё о Html / Помогите: нужно сделать полу-прозрачный, градиентный <div>

« : 21 Октября 2007, 16:53:54 »

Всем привет!
Спасибо за чудесный форум!

Есть один вопрос (вы уж простите - я новичок):

Необходимо сделать

(с картинкой) постепенной/градиентной, прозрачностью. -
сначала он показывает что на нем есть а потом градиентом растворятся в узоре background\'а.

Первоначально думал можно сделать маску из PNG для

или прямо для картинки...
но поиски в интернете так мне и не погли: можно только саму
картинку
сделать PNG но слишком большой размер получатся

Потом подумал с помощью CSS - но филтр alpha с возможностью градиента работает
только для IE не работают для на других броузерах.
(нужна работа в ie6, ff, opera, картинку резать нельзя...)

Напоследок скрин того что должно получится
(если я плохо объяснил)

5

Веб Сервера / Mod_rewrite в суб домене...

« : 20 Января 2006, 03:44:41 »

Привет очень нужна ваша помощь!
Ваш форум посмотрел... но всю информации перебрать невозможно...
А в мануалах я неочень понимаю - не программист...

есть такой код в .htaccess :


php_value SMTP "mail.peterhost.ru"
CharsetDefault windows-1251
CharsetSourceEnc windows-1251
CharsetRecodeMultipartForms Off
# запрет на отображение содержимого директории при отсутствии индексного файла
Options -Indexes
# 401 ERROR - Требуется авторизация (Authorization Required)
# 403 ERROR - пользователь не прошел аутентификацию, запрет на доступ (Forbided).
# 404 ERROR - запрашиваемый документ (файл, директория) не найден.
# 500 ERROR - внутренняя ошибка сервера (к примеру, ошибка в синтаксисе файла .htaccess).
ErrorDocument 400 http://www.deadboy.ru/error.php?400
ErrorDocument 401 http://www.deadboy.ru/error.php?401
ErrorDocument 403 http://www.deadboy.ru/error.php?403
ErrorDocument 404 http://www.deadboy.ru/error.php?404
ErrorDocument 500 http://www.deadboy.ru/error.php?500
redirect /_vti_bin http://www.microsoft.com
redirect /scripts http://www.microsoft.com
redirect /MSADC http://www.microsoft.com
redirect /c http://www.microsoft.com
redirect /d http://www.microsoft.com
redirect /_mem_bin http://www.microsoft.com
redirect /msadc http://www.microsoft.com
RedirectMatch (.*)\\cmd.exe$ http://www.microsoft.com$1

RewriteEngine on
RewriteCond %{HTTP_HOST} ^(.+)\\.deadboy\\.ru$ [NC]
RewriteCond %{HTTP_HOST} !^www\\.deadboy\\.ru$ [NC]
RewriteCond %{REQUEST_URI} !^/rugoth
RewriteCond %{REQUEST_URI} !^/gphoto
RewriteCond %{REQUEST_URI} !^/forum
RewriteCond %{REQUEST_URI} !^/vne
RewriteRule ^(.*) %{HTTP_HOST}$1
RewriteRule ^www\\.([^.]*)\\.deadboy\\.ru(.*) /$1$2
RewriteRule ^(.*)\\.deadboy\\.ru(.*) /$1$2
RewriteRule ^www\\.(.*) /$1


из
deadboy.ru/gphoto/
он "создает" суб домен:
gphoto.deadboy.ru

все работает и с http://www. и без http://www.
+ главная страница открывается
+ есть одно но:

дело в том что рисунки на данной странице неотображаются!
линк вида:
gphoto.deadboy.ru/skins/vampire/images/title.gif
не работает... а если написать как:
gphoto.deadboy.ru/gphoto/skins/vampire/images/title.gif
то все впорядке


конечно текст кода на небольшом сайте можно достаточно легко исправить
но что делать если материал-страниц накопилось великое множество или
поставлен движок форума? - у меня какраз такая проблема:

хотел соединить домен forum.deadboy.ru c deaadboy.ru/forum но обнаружив
ошибку на "простом" сайте понял что лучше пока этого не делать

вот и вопрос - что у меня не так прописанно в .htaccess и/ или что мне
нужно исправить/написать чтоб все заработало нормально и картинки, css
стили могли читаться с адреса
gphoto.deadboy.ru
?

С нетерпением буду ждать вашего ответа!
Зарание всем большое СПАСИБО!

Страницы: [1]

5

Веб Сервера / Mod_rewrite в суб домене...

« : 20 Января 2006, 03:44:41 »

Привет очень нужна ваша помощь!
Ваш форум посмотрел... но всю информации перебрать невозможно...
А в мануалах я неочень понимаю - не программист...

есть такой код в .htaccess :


php_value SMTP "mail.peterhost.ru"
CharsetDefault windows-1251
CharsetSourceEnc windows-1251
CharsetRecodeMultipartForms Off
# запрет на отображение содержимого директории при отсутствии индексного файла
Options -Indexes
# 401 ERROR - Требуется авторизация (Authorization Required)
# 403 ERROR - пользователь не прошел аутентификацию, запрет на доступ (Forbided).
# 404 ERROR - запрашиваемый документ (файл, директория) не найден.
# 500 ERROR - внутренняя ошибка сервера (к примеру, ошибка в синтаксисе файла .htaccess).
ErrorDocument 400 http://www.deadboy.ru/error.php?400
ErrorDocument 401 http://www.deadboy.ru/error.php?401
ErrorDocument 403 http://www.deadboy.ru/error.php?403
ErrorDocument 404 http://www.deadboy.ru/error.php?404
ErrorDocument 500 http://www.deadboy.ru/error.php?500
redirect /_vti_bin http://www.microsoft.com
redirect /scripts http://www.microsoft.com
redirect /MSADC http://www.microsoft.com
redirect /c http://www.microsoft.com
redirect /d http://www.microsoft.com
redirect /_mem_bin http://www.microsoft.com
redirect /msadc http://www.microsoft.com
RedirectMatch (.*)\\cmd.exe$ http://www.microsoft.com$1

RewriteEngine on
RewriteCond %{HTTP_HOST} ^(.+)\\.deadboy\\.ru$ [NC]
RewriteCond %{HTTP_HOST} !^www\\.deadboy\\.ru$ [NC]
RewriteCond %{REQUEST_URI} !^/rugoth
RewriteCond %{REQUEST_URI} !^/gphoto
RewriteCond %{REQUEST_URI} !^/forum
RewriteCond %{REQUEST_URI} !^/vne
RewriteRule ^(.*) %{HTTP_HOST}$1
RewriteRule ^www\\.([^.]*)\\.deadboy\\.ru(.*) /$1$2
RewriteRule ^(.*)\\.deadboy\\.ru(.*) /$1$2
RewriteRule ^www\\.(.*) /$1


из
deadboy.ru/gphoto/
он "создает" суб домен:
gphoto.deadboy.ru

все работает и с http://www. и без http://www.
+ главная страница открывается
+ есть одно но:

дело в том что рисунки на данной странице неотображаются!
линк вида:
gphoto.deadboy.ru/skins/vampire/images/title.gif
не работает... а если написать как:
gphoto.deadboy.ru/gphoto/skins/vampire/images/title.gif
то все впорядке


конечно текст кода на небольшом сайте можно достаточно легко исправить
но что делать если материал-страниц накопилось великое множество или
поставлен движок форума? - у меня какраз такая проблема:

хотел соединить домен forum.deadboy.ru c deaadboy.ru/forum но обнаружив
ошибку на "простом" сайте понял что лучше пока этого не делать

вот и вопрос - что у меня не так прописанно в .htaccess и/ или что мне
нужно исправить/написать чтоб все заработало нормально и картинки, css
стили могли читаться с адреса
gphoto.deadboy.ru
?

С нетерпением буду ждать вашего ответа!
Зарание всем большое СПАСИБО!