[PHP] Sicurezza inclusione file nominato .inc.php

[biccheddu]

Come da titolo volevo sapere che benefici porta rinominando un file da includere in questo modo:

Codice:

file.inc.php

Ho letto (e non ricordo dove, per quello chiedo qui), che nominando il file in questo modo si impediscono delle sql injection o simili.

Posso sempre proteggere i file tramite htaccess tramite questo codice per l'accesso diretto:

Codice:

<Files ~ "\.(inc|conf)\.php$">
Order allow,deny
Deny from all
Satisfy All
</Files>

Ma vorrei togliermi tutti i dubbi.

Grazie in anticipo

[comunitavirtuali]

Quello (htaccess) puoi farlo anche con un normalissimo file php ^_^

Non si impedisce nulla!
Semplicemente è più "organizzato" il tuo spazio =)

E l'ordine è davvero una bella cosa ^_^

Sql Injections e htaccess son 2 cose diverse dubito che una estensione un po' diversa possa limitarle :)
Come ho detto, appunto, serve per tenere in ordine il sito, i file inc sono i file di configurazione di default ^^

[biccheddu]

Non ho detto che sono la stessa cosa ma ho letto che scrivendo quello si impedisocno delle query al DB, ma era in inglese e non mi sono soffermato.

Con .htaccess vieto l'accesso diretto (dal browser quindi) del file, ma ne permetto solamente l'inclusione.

Voglio partire bene dato che voglio crearmi qualcosina di decente.

Grazie ancora della risposta

[dementialsite]

Che io sappia nominando semplicemente i file in quel modo non c'è nessuna protezione: serve solo a chi realizza gli script per ricordargli che il file non è direttamente eseguibile, ma può essere letto da un altro file.

Un certo tipo di protezione (adottata anche dalla maggior parte dei CMS) puoi metterla anche sfruttando la semplice sintassi del PHP: nel file "contenitore" inserisci questa riga:

Codice PHP:

<?php define('CONTAINER', 'hello'); ?>

dopo questa riga, includi i tuoi file, i quali dovranno contenere tutti questa direttiva all'inizio del file:

Codice PHP:

<?php if (!defined('CONTAINER')) die ('Accesso diretto non consentito!'); ?>

In questo modo, i file .inc.php non potranno essere eseguiti da soli, in quanto c'è il controllo di definizione della costante. Mentre saranno eseguiti all'interno del file contenitore, visto che lì la costante è stata definita.

Stammi bene...

[biccheddu]

Infatti uso già questo sistema. Includo il file dopo aver definito nel caso una costante, nel mio caso VISIBLE e se non è definita mi mostra un errore

Grazie ancora della risposta, sempre esaurienti