duda de como proteger un archivo .txt

privatefta · #1 (**permalink**) 31/03/2012, 21:10

hola es que ando tratando de poder hacer para proteger un archivo .txt

que tengo en mi script para que no pueden abrirlo usando el navegador

http://dominio/bd.txt

y no le habra esto seria posible

maycolalvarez · #2 (**permalink**) 31/03/2012, 21:30

La mejor opción es dejarlo fuera del document_root, o sino colocarlo en otra carpeta y denegar su acceso con un .htaccess

privatefta · #3 (**permalink**) 31/03/2012, 21:56

pero si envientran la cardpeta podran verlo

maycolalvarez · #4 (**permalink**) 01/04/2012, 12:35

Cita:

Iniciado por privatefta

pero si envientran la cardpeta podran verlo

Como le indique no se puede si dicha carpeta esta reestringida por el webserver, en este caso apache, favor investigue y evalúe las opciones antes de replicar, la informacion que le proporcione es fidedigna y ampliamente utilizada por muchos

privatefta · #5 (**permalink**) 01/04/2012, 14:53

Cita:

Iniciado por maycolalvarez

La mejor opción es dejarlo fuera del document_root, o sino colocarlo en otra carpeta y denegar su acceso con un .htaccess

y como haria el .htaccess para hacer esto posible amigo

SirDuque · #6 (**permalink**) 01/04/2012, 16:50

Dado que estamos en PHP te doy una solucion en PHP.
Crea un archivo que se llamara db.php

su contenido sera el siguiente:

Código PHP:

  <?php
$acceso = isset($_GET['acceder'])?$_GET['acceder']:'true';
if(!$acceso){
$leer=file(db.txt);
        foreach($leer as $fila){
            echo htmlentities($fila);
        }
}else{
echo "<h1>Ouch!</h1>";
}

y en ves de llamar a http://dominio.com/db.txt
vas a llamar a http://dominio.com/db.php?acceder=0

privatefta · #7 (**permalink**) 01/04/2012, 19:15

es que sige el .txt visible y es lo que quiero hacer que se no puedan ver su contenido ya que hay estara los datos de la bd y si con tan solo mete la url veran el contenido

SirDuque · #8 (**permalink**) 02/04/2012, 06:20

Cita:

Iniciado por SirDuque

Dado que estamos en PHP te doy una solucion en PHP.
Crea un archivo que se llamara db.php

su contenido sera el siguiente:

Código PHP:

  <?php

$acceso = isset($_GET['acceder'])?$_GET['acceder']:'true';

if(!$acceso){

$leer=file(db.txt);

        foreach($leer as $fila){

            echo htmlentities($fila);

        }

}else{

echo "<h1>Ouch!</h1>";

}

y en ves de llamar a http://dominio.com/db.txt
vas a llamar a http://dominio.com/db.php?acceder=0

Cita:

Iniciado por privatefta

es que sige el .txt visible y es lo que quiero hacer que se no puedan ver su contenido ya que hay estara los datos de la bd y si con tan solo mete la url veran el contenido

Código PHP:

  <?php

$acceso = isset($_GET['acceder'])?$_GET['acceder']:'true';

if(!$acceso){

// tu contenido del txt.

}else{

echo "<h1>Ouch!</h1>";

}

maycolalvarez · #9 (**permalink**) 02/04/2012, 06:41

¿es tan difícil buscar la solución en la web o documentación oficial?

http://httpd.apache.org/docs/2.2/howto/access.html

Código Apache:

Ver originaldeny from all

el que busca, encuentra

charlyalegret · #10 (**permalink**) 02/04/2012, 07:20

Y no será lo mismo llamar al archivo bd.php en lugar de bd.txt?
Es más seguro realmente tener esos datos en un directorio protegido?

maycolalvarez · #11 (**permalink**) 02/04/2012, 08:18

Cita:

Iniciado por charlyalegret

Y no será lo mismo llamar al archivo bd.php en lugar de bd.txt?
Es más seguro realmente tener esos datos en un directorio protegido?

sí, cuando dicho archivo posee las contraseñas de acceso a la DB, por lo que cualquiera las vería y puede entrar a la DB, el bloquearlas por apache no impide que php las lea, porque php las lee localmente, en cambio evitas que apache las sirva hacia afuera, de hecho puedes añadirle contraseña y autenticación HTTP sin necesidad de PHP, recordemos que Apache es independiente de PHP

charlyalegret · #12 (**permalink**) 02/04/2012, 09:11

mmmm.... pero como pueden leerte un archivo php? es decir si tu accedes desde el navegador a un archivo que tiene:

Código PHP:

Ver original<?php
$pasword="12345";
echo "hola";
?>

Tu sólo verás "hola".
¿cómo pueden sacarte el pasword o datos sensibles?

Ojo, lo pregunto como novato! :P

privatefta · #13 (**permalink**) 02/04/2012, 09:32

muchas gracias a todos

maycolalvarez · #14 (**permalink**) 02/04/2012, 09:53

Cita:

Iniciado por charlyalegret

mmmm.... pero como pueden leerte un archivo php? es decir si tu accedes desde el navegador a un archivo que tiene:

Código PHP:

Ver original<?php
$pasword="12345";
echo "hola";
?>

Tu sólo verás "hola".
¿cómo pueden sacarte el pasword o datos sensibles?

Ojo, lo pregunto como novato! :P

en ese caso porque lo tienes como *.php y como tal PHP lo interpreta y sólo devuelve lo que se le indica "hola", pero cuando es *.txt no existe ningún script que lo interprete y por lo tanto apache lo envía completamente y el navegador o lo muestra o lo descarga, aún así configures apache para que PHP interprete ese tipo de archivo, al no encontrar una tag de inicio <?php éste lo considera como stdout y lo lanza a la salida directamente, con el cual tienes el mismo resultado.

PHP es un lenguaje interpretador, si no le indicas el código, el simplemente lo devuelve, lo mismo con apache, si no le indicas cuales son los archivos delicados, simplemente los envía.

charlyalegret · #15 (**permalink**) 02/04/2012, 10:10

Ok, gracias por la respuesta, a eso me refería, me dejas más tranquilo!

Saludos

maycolalvarez · #16 (**permalink**) 02/04/2012, 12:38

Cita:

Iniciado por charlyalegret

Ok, gracias por la respuesta, a eso me refería, me dejas más tranquilo!

Saludos

bueno, en efecto, no puedes ver directamente el código de php si lo haces desde una petición HTTP cualquiera, no quiero ser ave de mal agüero, pero existen otras vulnerabilidades que pueden comprometer no sólo en código, sino la seguridad de los usuarios, entre ellas:

registers globals activo
SQL Inyection
CSRF
XSS
RFI
no cambiar con periodicidad la clave del FTP

entre otras, son temas se seguridad ampliamente discutidos y de los cuales existen diversas soluciones, y no todos atañen sólo a PHP sino a otros lenguajes, tenerlos en cuenta para desarrollar sitios seguros

hugocella2 · #17 (**permalink**) 03/05/2015, 09:56

Ya sé que este hilo es viejo, pero a mí se me ocurrió tener los archivos txt guardado como php (con su registro inicial <? y su final ?> y en el medio, la data
Imposible verlos desde afuera ni ver su código.

BanNsS1 · #18 (**permalink**) 03/05/2015, 11:22

Cita:

Iniciado por hugocella2

Ya sé que este hilo es viejo, pero a mí se me ocurrió tener los archivos txt guardado como php (con su registro inicial <? y su final ?> y en el medio, la data
Imposible verlos desde afuera ni ver su código.

No lo veo una buena solución o al menos, no la más "buena".
En mi opinión hay 2 opciones válidas:

- Si el fichero debe poder ser manipulado por PHP:
protegerlo con permisos (700).

- Si el fichero debe poder ser accedido mediante el navegador pero de forma segura:
protegerlo con .htaccess y .htpasswd