На днях пришла идея: если на сайте используется CMS, в которой все обрабатывается /index.php файлом, зачем вообще давать возможность посетителям пытаться открыть служебные.php файлы? Что если запретить отдавать любые.php доки, кроме /index.php?

Tagged with →  

9 Responses to Защита сайта от взлома: настроить nginx для отдачи только заранее определенных.php файлов.

  1. VokRain:

    Возможно, я пишу ересь полную, но все же хотел бы услышать ваше мнение по этому поводу.

  2. Asagreen:

    Я так и делаю. В fastcgi_param SCRIPT_FILENAME захардкожен путь к index.php.

  3. Amtwhite:

    зачем вообще давать возможность посетителям пытаться открыть служебные.php файлы

    Правильно, незачем.

    Что если запретить отдавать любые.php доки, кроме /index.php?

    Если ВСЁ работает только через него, тогда ничего не будет, всё будет работать.

  4. XxxSwet:

    если все работает через него, то есть смысл воткнуть редирект всего на него, и все.

  5. VomIT:

    В каком-то PHP-фреймворке или CMS есть.htaccess, который так и запрещает. Кажется, OpenCart.

  6. NarZZ:

    Для одного проекта я, помницца, генерил nginx.conf из find. -type f -name «.php»

Добавить комментарий