עזרה| חסימה תיקייה מסוימת בשרת רק לצד שלישי - תכנות - HWzone פורומים
עבור לתוכן
  • צור חשבון

עזרה| חסימה תיקייה מסוימת בשרת רק לצד שלישי

Kirma

נוצר על ידי Kirma
ב תכנות

Recommended Posts

Kirma Zone Junkie

Kirma

פורסם
פורסם

שלום,

יש לי בעיה קטנה במערכת שאני בונה

אני רוצה שלא יוכלו להיכנס לקבצים בתיקייה folder

לדוגמא

http://site.com/folder/file.php

אני יכול לחסום את זה בקלות דרך htaccess

אבל הבעיה היא שגם המערכת לא מצליחה לגשת לקובץ

לצורך הדוגמא זה הקוד שמנסה להגיע לקובץ (jQuery): 

      $("#DisplayGreen2").load("/folder/file.php?action=update&id="+id+"&version="+version+"&link="+linkk);

איך אפשר לעשות את זה ?

בנוסף ניסתי דרך אחרת ב PHP שהגדרתי define

והוספתי if בקובץ \ תיקייה שאני רוצה לחסום

אבל לצערי המערכת נחסמה

קישור לתוכן
שתף באתרים אחרים
שניצל Zone Master

שניצל

פורסם
פורסם

תזכור ב-jQuery רץ כולו בצד הלקוח, וכל בקשה שהוא מפנה לשרת (לדוגמה באמצעות load או עם ajax) הוא עושה את זה כמו כל לקוח אחר. לכן אם דף כלשהו צריך להיות חשוף לשאילתות שמגיעות מ-jQuery הוא צריך להיות חשוף לכל לקוח.

לא הבנתי מה הפתרון שעשית בסוף.

קישור לתוכן
שתף באתרים אחרים
Kirma Zone Junkie

Kirma

פורסם
  • מחבר
פורסם

הבנתי..

אז עם htaccess הדבר לא אפשרי

לגבי הדבר האחרון שעשיתי זה הגדרתי משתנה בדף הראשי

define ("ACCESSCHECK", 1);

ובדף שאני רוצה לחסום הוספתי 

if (!defined(ACCESSCHECK)) die...

אבל זה גם לא עבד

יש למישהו פתרון אחר ?

בכל מקרה, חשבתי לעשות בדיקת קוקיס בדף שאני רוצה לחסום ולבדוק אם הקוקיס תואם ל SQL

במידה ולא, הדף יראה שגיאה

במידה וכן, המשך עבודה רגילה

יעבוד ?

עדכון:

אוקיי, עניין העוגיות עובד.

לא ניתן להציג את הדף במידה והסיסמא ששמורה בקוקיס לא תואמת לסיסמא במסד הנתונים

אם למישהו יש רעיונות אחרים, אשמח לשמוע למרות שאני דיי מסופק מהפתרון הזה

קישור לתוכן
שתף באתרים אחרים
domiel Zone Junkie

domiel

פורסם
פורסם

בבקשה ממך, אל תשמור סיסמאות cleartext בעוגייות!

אם אתה שומר משהו זה salted hash וגם זה לא רעיון טוב.

מקובל לתת למשתמש עוגיית session שהיא יחודית לו ולא קשורה בשום צורה לסיסמא, את הקישור בין המשתמש לעוגייה תעשה דרך טבלה בDB

ותדאג לשים תוקף על עוגיות כאלו!

כמו כן לא מקובל לשמור סיסמאות as is בDB, במקרה ומצליחים לעשות לך sql injection הדרך מפה לכל היוזרים שלך מהירה.

מאוד ממליץ לקרוא על session hijacking ועל sql injection.

קישור לתוכן
שתף באתרים אחרים
Kirma Zone Junkie

Kirma

פורסם
  • מחבר
פורסם

לא קריטי בשבילי

למרות שאני משתמש ב md5 לסיסמא

וב mysql escape

ולמעשה חוץ מהסיסמאות, כל המידע גלוי באתר

פשוט המערכת ניהול מאפשר להוסיף ולערוך את המידע

אולי בעתיד אני יבצע בדיקת התאמה בין הסיזיון לעוגיות כמו שהצעת .. (כמו שאמרתי, כרגע זה לא קריטי)

קישור לתוכן
שתף באתרים אחרים

ארכיון

דיון זה הועבר לארכיון ולא ניתן להוסיף בו תגובות חדשות.

עבור לרשימת הדיונים
×
  • צור חדש...