zabezpečení obsahu souboru php
zdravím,
zeptám se obecně, mám soubor php, který umí poslat email,
v php je nijak nešifrovaně uložen mailserver, uživateské jméno a heslo atd
tento soubor jsem uložil tam kde mám uložené internetové stránky, v adresářové struktuře je to tam kde je soubor index.php
toto php volám ve windows přes CURL
curl "http://xyz.cz/mail.php?messagetext=odeslanizkusebnihotextu
odeslaní a příjem mailu funguje
je nutno tento soubor nějak zabezpečit pro neoprávněnému stažení obsahu aby si někdo nepřečetl moje jméno a heslo na mailserver nebo to je záležitost webserveru že útočník obsah souboru neuvidí?
asi to nemůže být v nějakém private adresaří protože by se to nedalo normálně z internetu zavolat, ne?
snažím se to někde vygooglit a asi se ptám blbě
děkujji
pokud je zajištěno, že soubory typu php webový server vždy lokálně spustí a tím je nenaservíruje klientovi, tak to řešit nemusíš. Jiný problém je, že lokálně (tedy mimo službu http(s)) se k tomu souboru lze dostat.
lokálně (tedy mimo službu http(s)) se k tomu souboru lze dostat
jako že si to přečte správce stránek (což jsem vlastně já) nebo technická podpora firmy kde ty stránky mám?
Ano, samozřejmě k těm souborům má přístup kromě autora také admin serveru (webhostingu), pak k tomu může existovat přístup přes FTP, atp.
Pokud je server nastaven správně, tak se PHP zpracovává na serveru a jeho obsah by nemělo jít zobrazit/stáhnout.
A nebo jakýkoli skript, který ti tam někdo spustí kvůli nějaké díře v zabezpečení ...
jakým způsobem to tedy nějak lehce vyřešit, jméno a heslo do jiného souboru, který se bude nějak includovat?
mohl bych to zadávat jako parametr do CURL ale to nechci protože ten curl potřebuji jako automatickou úlohu umístit na "cizí" server tak ať si to tam někdo nepřečte :)
udělám alespoň že uživatelské jméno bude v parametru CURL a heslo bude v PHP a v tom php si to složím
nejedná se o bezpečnostní úroveň pro odpalování jádrových raket ale i tak by mě to zajímalo jak to vyřešit
Dělá se to tak, že účet se komplet uloží v PHP, ale tento účet je pro danou funkci vyhrazený, tj. není to třeba tvá osobní schránka, ale čistě účet, který slouží k odesílání pošty z webu.