PHP اجرای ایمن اسکریپت های
استفاده از مخفی کننده اسکریپت
برای اتصال به یك پایگاه داده نیاز است که رمز های عبور آن در برخی قسمتهای اسکریپت وجود داشته
باشد . اسکریپت های دیگر شما ممکن است اطلاعات حساس خود را داشته باشند . این اطلاعات اگر شما
خود را پنهان نکنید ، ممکن است افشا شوند . حفاظت کردن اسکریپتهایتان از PHP اسکریپت های
گفته می شود . هنگامی که شما یك اسکریپت را می پوشانید توسط “wrapping” چشمهای کنجکاو
اسکریپت دیگری که برنامه اصلی شما را پنهان کرده و آزمایشهای ایمنی را برای حصول اطمینان از
دستیابی مجاز انجام می دهد ، فراخوانی می گردد .
دیگر کاربران رمز عبورها را چگونه می بینند ؟
دو راه وجود دارد :
۱ )اگر شما به اندازه کافی دقت به خرج ندهید و رمز عبورهای خود را در ریشه اصلی وب تان و در درون
تجزیه و تحلیل نمی شود، قرار دهید (مانند PHP فایلی که توسط مفسر
هر کسی می تواند آنرا دریافت کند و محتویاتش را بدست آورد . (
http://www.mysite.com/pass.txt
این امر به شدت نادرست است .
۲ ) اگر شما رمز عبورهای خود را در فایلی قرار دهید که می تواند توسط وب سرور به طور مستقیم یا
بوسیله دیگر کاربرانی که در گروه شما و در همان سرور هستند ، خوانده شود .بکار گیری این روش بجز
توسط افرادی که می توانند یك وب سرور اختصاصی داشته باشند توصیه نمی شود .
اگر شما رمز عبور ها را در یك فایل که توسط دیگر کاربران قابل خواندن است ، قرار دهید آنها می توانند
به شاخه شما رفته و فایلها را مسقیما بخوانند . برخی میزبانهای وب از این Telnet ویا FTP بوسیله
را هنگامی که شما وارد “usr/home/username”). جلوگیری می کنند “chrooting” رفتار توسط
برای تغییر ریشه است .) اما بسیاری از میزبانها U NIX دستور Chroot . می شوید برابر با ”/“ می کند
در مورد فایلهایی که صرفا اجازه خواندن آن به وب سرور داده شده است ، اجازه دسترسی را به دیگر
کاربران نمی دهند. در این حالت نیز دیگران می توانند اسکریپتی بنویسند که با مشخه کاربری
کار کند . و این اسکریپت می تواند به تمام فایلهایی که در سرور وجود دارد و صرفا توسط “nobody”
آن خوانده می شود ، دسترسی پیدا کند.
چگونه از این امر جلوگیری می کند ؟ Wrapping
نام کاربری کسی که به فایل می تواند دسترسی داشته باشد را برابر نام کاربری شما قرار Wrapping
می دهد . یك مخفی کننده ایمن ، چندین بررسی و آزمون امنیتی بر روی درخواستها ، قیل از اجرای آنها
انجام می دهد .
چیست ؟ Php-cgiwrap
یك اسکریپت مخفی کننده برای برنامه های cgiwrap . است PHP یك اسکریپت مخفی کننده برای
تهیه شده و P airNetworks آنست که توسط PHP نسخه مربوط به php-cgiwrap است و Perl
صرفا بر روی سرورهای آنان کار می کند . اگر از میزبان دیگری استفاده می کنید روشهای دیگری برای
مخفی کردن وجود دارد که می توانید از آنها استفاده کنید .
پوشش شفاف
مربوط به پوشش شفاف برای ایمنی صفحات است . برخی میزبانان وب PHP آخرین بحث ما درباره
استفاده نمایند و .php ارایه کرده اند . اگر صفحات از پسوند 3 PHP پوشش شفاف لاینفکی برای صفحات
در این صورت شما اصلا متوجه نخواهید شد که صفحات شما از پوشش استفاده می کنند اما نکته مهم
آنست که از فراهم کننده خدمات میزبانی وب خود در این باره پرسش نمایید .
استفاده کنید تا به طور mod-rewrite راههای مختلفی برای اجرای این کار وجود دارد . شما می توانید از
از طریق اسکریپت مخفی کننده ارسال شود . یا از خدمات سرور PHP خودکار تمام درخواستهای
استفاده نمایید . برای اطلاعات بیشتر از نشانی Apache suExec
استفاده کنید .
http://www.apache.org/docs/suexec.htm
اخطار : اگر میزبان وب شما راهی برای اجرای ایمن اسکریپت هایتان پیش بینی نکرده ، و راهی برای
مخفی کردن رمز عبور ها از دید کاربران کنجکاو ندارید. بایستی به میزبانی مراجعه کنید که بیشتر نسبت
به امنیت کاربران اهمیت قایل است
منبع: ایران جاوا
پاسخ با نقل قول
