Где наиболее безопасное место для хранения секретного кода на сервере (например, авторизация php, контактные скрипты, чувствительный или защищенный javascript)?безопасное место для сохранения кода
Вы, ребята, получили какие-либо советы или рекомендации о том, как защитить такие вещи?
Вы можете использовать .htaccess, чтобы отключить удаленный доступ к PHP-скриптам (конечно, вы все равно сможете получить к ним доступ локально с серверной частью). Я предполагаю, что ваши скрипты для контактов также являются скриптами PHP. Их тоже можно обработать. В любом случае, если PHP работает на вашем сервере, даже если пользователь знал местоположение файла PHP, они все равно не смогут увидеть исходный код. Это предотвращает определенное несанкционированное выполнение.
Что касается чувствительного или защищенного Javascript, вы можете использовать JS-компрессор, например this, чтобы запутать код, но поскольку JS выполняется на стороне клиента, пользователь сможет увидеть любой исходный код, который вы ему дадите.
Хорошая идея с .htaccess, я буду возиться с этой идеей. Спасибо! – justin
Обфускация - это, безусловно, единственный способ защитить ваши js. –
Некоторые наблюдения
Проблема у вас есть то, что для использования любого из этого кода, он должен быть доступен для чтения независимо от процесса его использования (как правило, веб-сервер). Только этот факт действительно делает невозможным получение дополнительной безопасности, если только вы не можете прибегнуть к какой-то очереди в автономном режиме.
Правило № 1 - держать его из DocumentRoot (если это не должно быть)
Правило № 2 - запустить свой собственный сервер (или VPS), и держать других людей от него
Правило # 3 - заблокируйте коробку вниз - порт 22 (от конкретных IP-адресов) и 80/443 от глобальных
PS. JavaScript выполнен в веб-браузере - вы не можете сделать это, чтобы защитить его (кроме его неясного), а также не должны (например, НЕ доверять внешним данным - это правило № 0).
Другая тактика заключается в том, чтобы хранить такие PHP-скрипты над общедоступной веб-папкой. Ваши скрипты могут получить к ним доступ. Я часто использую это для данных, которые я хочу сделать доступными для входа в систему для загрузки. Я должен сделать сценарий специально для извлечения и отправки данных, когда это необходимо, но никто не может получить доступ к этим данным, если они не вошли в систему, и сценарий отправляет их им.
С вашими сценариями это еще проще - вы не делаете способ получить к ним доступ. Разумеется, ваши собственные скрипты могут включать их, и использование .htaccess для контроля доступа - еще один достойный шаг.
Что это за «девушка», о которой вы говорите? – Hello71