vulnerabilità sito

ciao a tutti

supponiamo che creo uno script x cancellare tutti i file e lo salvo come "cancella_tutto"

questo script vorrei usarlo solo io, diciamo che mi serve x manutenzione...
...se però qualcuno lo sa, può tranquillamente lanciarlo accedendoci col browser

http://miosito/service/cancella_tutto.php

...giusto? qual'è la prassi in questo caso? voi come fate? è comodo avere sul server degli script però andrebbero tenuti... riservati... la cosa che mi viene in mente ora è di tenerli nella cartella "protetta" ...

[NEMO89]

Puoi farti un form di login.

Inserisci nome e password e se corrispondono a quelli da te scelti per l'admin aprono una sessione.
Aperta la sessione in ogni agina da proteggere inserisci un controllo tipo:

session_start();
if ($_SESSION["Admin"] == "No"){
echo"non sei admin";
exit();
}

così chiunque non sarà admin verrà cacciato fuori dallo script, se ti interessa nel sito in firma c'è uno script per il login.

Crei un sistema login con password univoca che sai solo tu, poi tramite dei parametri passati via GET e se la password è uguale potrai lavorare.

Poi unisci, come suggerito, le sessioni non più lunghe di qualche minuto. Non credo ci metta minuti a cliccare su un SI per cancellare i file. Per questo anche, ti consiglio di usare un FORM tramite $_POST per diminuire un bel pò i rischi di cancellazione tramite URI.

Poi ti consiglio nomi non così facili, magari in inglese, con caratteri come underscore ( _ ) e trattini ( - ), oppure senza questi (esempio banale: cancellatutto.php).

Ma perche fare tutto questo casino quando può usare il luchetto di altervista?

CIao!

Ma perche fare tutto questo casino quando può usare il luchetto di altervista?

Bè in effetti mi sembra che non necessiti di particolari esigenze, quindi puoi proteggere con .htaccess dovrebbe bastarti...

ciò che volevo capire era questo: impedire l'accesso agli script digitando l'URL direttamente sul browser; consentire però ad uno script di richiamarne un altro "protetto"...

[dreadnaut]

possibilita':

1. metti le pagine online e non lo dici a nessuno, e non metti link ad esse in pagine "visibili"; e' sicuro quanto l'indirizzo che scegli per la pagina
2. metti le pagine in una directory bloccata col lucchetto di AV, per chiamarli via browser serve nome utente e password, puoi includerli o leggerli via php senza problemi da altre pagine; e' sicuro quanto il tuo nome utente e password
3. usi un qualche sistema di login e lasci le pagine pubbliche; servono dati di accesso per poterle usare, e' sicuro quanto il tuo sistema di login ed il tuo nome utente e password
4. non metti il codice "dannoso" in pagine php che lo eseguano direttamente, ma scrivi delle funzioni che vengono incluse e richiamate da altre pagine; e' sicuro quanto le altre pagine

Io uso tutti e quattro i metodi per cose diverse, a diversi livelli di sicurezza, ma alle pagine a) non e' mai arrivato nessuno, per il semplice motivo che a nessuno importa niente del sito abbastanza da andare a provare centinaia e piu' indirizzi perche' magari ce n'e' uno che cancella qualcosa. E se le pagine sono in una directory chiamata "idrologiaapplicata3"...

Sei un sito poco interessante* in una grande rete in fondo: keep it simple.

[*] con rispetto, a confronto con nasa.gov ecco