Еще один блог :)

Файл htaccess и рекомендации

Рекомендации по безопасности

а) Должно быть запрещено всё, что потенциально способно спровоцировать утечку информации или несанкционированный доступ к сценариям на сервере.
б) Выполнять сценарии можно только с локальной системы, надо  запрещать или ограничивать возможность делегирования сценариев во внешние системы и наоборот вызова внешних скриптов в локальных сценариях.
в) Любое действие можно выполнять только при наличии достаточных прав и привилегий.
г) Обязательна валидация параметров, фильтрация ошибочных значений и удаление любой символьной информации, способной внедрить внешние javascript/php элементы или выполнить вредоносный script
д) Модули должны проводить самотестирование и обнаруживать признаки своего изменения или установки сомнительной конфигурации
е) Необходимо запрещать флуд, вести журнал активности пользователей.


------

# принудительно выставить utf-8, в файле DATABASE.CLASS.PHP устанавливается режим
# SET NAMES utf-8

AddDefaultCharset utf-8
AddCharset utf-8 *

CharsetSourceEnc utf-8
CharsetDefault utf-8


php_flag allow_url_fopen Off
php_flag allow_url_include Off
php_value register_globals 0
ErrorDocument 404 /templates/404.htm
RewriteEngine On

# Все должно обрабатываться ядром, за исключением этих папок(файлов)

RewriteCond $1 !^(kernel\.php|favicon\.ico|images\/*|robots\.txt|classes\/*|cache\/*|var_cache\/*|etc\/*|templates\/*)
RewriteRule ^(.*)$ /kernel.php/$1 [L]

---------

В папках /config/, /var_cache/, /cache/, /classes/, /templates/, /logs/ должны быть инструкции, разрещающие доступ к файлам только из локальных сценариев.


Deny from all
Allow from 127.0.0.1

Options All -Indexes


Опубликовано в категории Публикации по PottoCMS

×