01/12/2005, 10:48
|
| | Fecha de Ingreso: agosto-2005
Mensajes: 109
Antigüedad: 19 años, 2 meses Puntos: 0 | |
Hay un aspecto que no sé si ha pasado desapercibido... cuando el CGI casca, toda llamada a un script ('index.php' o cualquier otro) se resuelve obteniendo el script para su descarga... es decir, su texto en claro.
Eso significa que encontrar el 'config.php' o como quiera que se llame(n) y en consecuencia los login y passwords, es, en ese momento, trivial.
La única solución para evitar que ante esa eventualidad el site completo se vea expuesto, es poner el/los 'config.php' (los datos de log/pass, etc) fuera del acceso web... Por ejemplo: Si el path es este, '/home/domain/public_html/index.php', el 'config.php' irá en '/home/domain/config.php' ... es decir, *ANTES* (fuera) de la carpeta 'public_html'.
(no todo iban a ser malas noticias ;)
Un saludo. |