Cartelle protette per script php

[theseglints]

Ciao a tutti,
questo è il mio primo post. Sono nuovo del php e ne sto studiando con passione i fondamenti.
Ho trovato alcuni tutorial relativi alla realizzazione di pagine protette con l'ausilio delle sessioni. Tutti i progetti prevedono la presenza di pagine pubbliche in cui viene eseguito il session_start ed altre che presentano script per accesso a DB o altre funzionalità sensibili dal punto di vista della sicurezza. Queste ultime sono di solito inserite all'interno di cartelle del tipo "inc" o "models", ets.
Volevo sapere: visto che gli script in queste cartelle non prevedono il session_start, immagino che tali cartelle, ed il loro contenuto, non debbano essere accessibili se non dagli script pubblici: per intenderci, nessun utente deve poter accedere a tali file digitando l'URL dal proprio browser.
Potete confermarmi tale ipotesi? E, se si, come faccio a configurare una struttura come quella descritta, in altervista? E' necessario fare uso dell'htaccess?
Grazie mille.

[alemoppo]

Solitamente, anche invocando tali script, non può esser fatto nulla: specialmente i file da includere non eseguono di per sé codice sensibile, ma devono prima esser invocate delle funzioni o classi che li contengono.

Comunque, se vuoi star più sicuro puoi proteggere tramite .htaccess i file (cercando nel forum troverai del materiale).

Ciao!

[theseglints]

Grazie mille per la risposta.
Purtroppo molti tutorial includono, nelle cartelle da me citate, file php con funzioni che permettono l'accesso al database per l'inserimento di nuovi record o l'interrogazione delle tabelle. Quindi, in teoria, creando una pagina che acceda a quelle funzioni, chiunque potrebbe accedere al DB e "bucare" tutto. In altri sono presenti user e password per l'accesso al DB. Magari mi sbaglio, e vorrei linkare i tutorial che ho visto, ma non so se le regole del forum lo permettono.
Vorrei davvero capirne di più.
Grazie

Forse non ti è chiaro un passaggio...anche se qualcuno provasse a includere le tue pagine alle proprio come fai tu nel tuo sito, questa operazione non porterebbe alcun accesso alle funziona dichiarate nei tuoi file, in quanto si tratta di server web differenti, pagine php create su un altro server non possono acquisire le funzioni dichiarate nei tuoi file php in nessun modo, tutt'al più possono vederle come semplici pagine html probabilmente vuote...

[theseglints]

Grazie ancora per la risposta.
Quindi facciamo affidamento completamente sul allow_url_include non settato nel file php.ini.
Ovviamente immagino che bisogni comunque stare attenti agli script che rispondono a POST e GET in quanto da lì potrebbero aprirsi delle falle notevoli:questi script devono comunque essere protetti da sessioni opportunamente gestite, vero?

Grazie ancora per la risposta.
Quindi facciamo affidamento completamente sul allow_url_include non settato nel file php.ini.
Ovviamente immagino che bisogni comunque stare attenti agli script che rispondono a POST e GET in quanto da lì potrebbero aprirsi delle falle notevoli:questi script devono comunque essere protetti da sessioni opportunamente gestite, vero?

Bè si senza dubbio nel caso di risposte a POST o GET sta al programmatore fare in modo che queste rispondano solo in certe condizioni...come può essere ad esempio un utente loggato con certi poteri, o altro...dipende sempre dal tipo di dati elaborati

[alemoppo]

Oltre a GET e POST, bisogna dar sempre un occhio ai COOKIE.

Ciao!

[theseglints]

Scusa, parlando di attenzione ai cookies intendi il Cross Site Scripting?

[alemoppo]

no, intendo ad esempio che l'utente può modificare i valori dei cookie.

Ciao!