безопасность — Возможно ли для пользователя увидеть исходный PHP-код сайта?
Допустим, Вы создаёте свой сайт, сосотоящий из PHP-страниц, которые содержат HTML-код. Эти страницы находятся в корневой папке на хостинге (там же, где и главная index.php
). Понятно, что пользователь, если откроет в браузере средства разработчика, увидит лишь сгенерированный HTML-код.
Вопрос: возможно ли для пользователя при таком раскладе увидеть исходный PHP-код, не взламывая сервер с целью получить доступа к файлам? В частности, прошу Вас упомянуть в ответе программы для сохранения страниц с целью дальнейшего их просмотра с автономном-режиме.
- php
- безопасность
2
Это невозможно ровно до тех пор, пока вы случайно не выключите парсинг PHP-кода в .php-файлах.
Тем не менее, обратившись к файлам, к которым пользователь не должен обращаться, он потенциально так или иначе может навредить вам или даже узнать информацию, которую ему не следует знать.
index.php
. Этот файл в свою очередь должен уже взаимодействовать с другими PHP-файлами, находящимися уровнем выше этого каталога. Примерно так:project/ ├── public/ │ ├── index.php │ ├── robots.txt │ └── sitemap.xml └── app/ ├── MyClass.php └── MyAnotherClass.php
Вы сможете обратиться к index.php
, скажем, по адресу localhost/index.php
, равно как к localhost/robots.txt
и localhost/sitemap.xml
, но обратиться к файлам MyClass.php
и MyAnotherClass.php
по HTTP вы никак не сможете.
5
php код работает на сервере. он отдаёт вашему браузеру страницу как вы её видите. Т.е. к клиенту летит результат работы пхп-файла в виде скомпилированного html. Не сам файл. То о чём вы спрашиваете возможно только по фтп, если через браузер.
Зарегистрируйтесь или войдите
Регистрация через Google
Регистрация через почту
Отправить без регистрации
Почта
Необходима, но никому не показывается
Отправить без регистрации
Почта
Необходима, но никому не показывается
Нажимая на кнопку «Отправить ответ», вы соглашаетесь с нашими пользовательским соглашением, политикой конфиденциальности и политикой о куки
php — Как найти файл в структуре сайта по фрагменту кода из панели разработчика
Вопрос задан
Изменён 3 месяца назад
Просмотрен 2k раз
Добрый день! Есть сайт на CMS Bitrix, написанный на PHP. На главной странице есть всплывающее окно для заполнения параметров обратного звонка. Один из заполняемых параметров окна имеет выпадающее меню вариантов. Я администратор и у меня есть доступ к структуре сайта по FTP (Mozilla). В консоли панели разработчика Chrome я нашел ту часть кода, где нужно поменять выпадающие позиции (они перечислены в теле кода). Но я не могу найти исходный файл с этим кодом в структуре файлов. Обратиться к разработчику нет возможности.
Поиск через меню консоли не дал результатов.
6
если есть полный доступ, можно скачать сайт к себе и в notepad++ сделать поиск по папкам/файлам на предмет: «
«
думаю, что код захвата данных с базы находится между атрибутами <select></select>
Всплывающие окно может быть из js скрипта, можно поискать по вариациям display = "none"
или display
для поиска кода внутри js.
В любом случае нужно искать в исходном коде, а не в сгенерированном в браузере.
2
Зарегистрируйтесь или войдите
Регистрация через Facebook
Регистрация через почту
Отправить без регистрации
Почта
Необходима, но никому не показывается
Отправить без регистрации
Почта
Необходима, но никому не показывается
.
Может ли кто-нибудь получить доступ к моему исходному коду PHP?спросил
Изменено 6 лет, 4 месяца назад
Просмотрено 21к раз
Можно ли скрыть файл .php на сервере…?
У меня есть веб-сайт, который иногда вызывает php-файлы внутри iframe, теперь мне не нравится, если кто-то скопирует этот код, так как мне его скрыть? Или надо шифровать?
В моем случае скорость имеет огромное значение, поэтому все, что не влияет на производительность, приветствуется!
Спасибо
- php
- шифрование
При правильно настроенном веб-сервере код PHP не виден посетителям вашего сайта. Чтобы PHP-код был доступен людям, которые посещают ваш веб-сайт, сервер должен быть настроен на отображение его в виде текста, а не на обработку в виде PHP-кода.
Другими словами, если вы посещаете свой веб-сайт и видите HTML-страницу, а не PHP-код, ваш сервер работает правильно, и никто не может получить доступ к PHP-коду.
1
Какой код? Ваш исходный код PHP? Единственный код, который видит пользователь, это ваш html-код, PHP обрабатывается на стороне сервера!
3
Если ваши php-файлы анализируются http-сервером, никто не может их получить.
Если вы все еще параноик после предоставленных здесь гарантий, вы можете сделать свой код намного более трудным для чтения кем-то еще, «запутав» его (ссылка на Википедию).
Если вы погуглите «php obfuscator», вы найдете множество продуктов для обфускации PHP, многие из которых бесплатны.
Некоторые примеры: PHP Obfuscator
Code Eclipse
Professional PHP Obfuscator/Encoder
Обфускация не влияет на производительность. Только удобочитаемость для людей.
Если кто-то получит доступ к php-файлу на вашем сайте, все, что он увидит, — это код, выводимый PHP-скриптом (например, любой HTML или Javascript) — он не увидит исходный код самой PHP-страницы (и не сможет чтобы получить к нему доступ).
Если вы обеспокоены тем, что они увидят вывод (например, HTML-код, сгенерированный скриптом PHP) с практической точки зрения, вы ничего не можете с этим поделать (максимум, что вы можете сделать, это запутать его, но это по большому счету бессмысленно).
У меня есть веб-сайт, который иногда звонит php внутри фреймов, теперь я не понравилось бы, если бы кто-то скопировал этот код, так как же мне его скрыть? Или я должен его зашифровать?
Нет, это бессмысленно и не сработает. Вы должны понимать, что PHP-код выполняется на вашем сервере для обслуживания HTTP-запроса, и что iframe приводит к отдельному HTTP-запросу с главной страницы.
Если вы хотите запретить другим включать iframe на свою страницу, вы можете проверить заголовок реферера и сделать так, чтобы страница iframe отображала ошибку, если реферер не с вашего сайта, но это может вызвать проблемы для некоторых законных пользователей и тоже можно обойти.
Альтернативное решение: не использовать фреймы; вместо этого интегрируйте код PHP, который в настоящее время отображает содержимое iframe на вашей главной странице. Это будет работать для всех пользователей, и его нельзя обойти.
Конечно, вы по-прежнему не можете запретить другим запрашивать вашу страницу, извлекать содержимое из HTML и отображать его на своей странице — так работает Интернет.
Поместите важные файлы, такие как пароли, логин и т. д., в папку вне веб-папки. Например. под C: вы можете установить этот путь включения в файле php ini. Тогда вы в безопасности. Определенно вы должны хранить свой код доступа к mysql вне папок htdocs. Я думаю, что php-код «включает». Так что проверьте себя. Удачи
Зарегистрируйтесь или войдите в систему
Зарегистрируйтесь с помощью Google
Зарегистрироваться через Facebook
Зарегистрируйтесь, используя адрес электронной почты и пароль
Опубликовать как гость
Электронная почта
Обязательно, но не отображается
Опубликовать как гость
Электронная почта
Требуется, но не отображается
html — Можно ли просмотреть PHP-код веб-сайта?
Задавать вопрос
спросил
Изменено 6 лет, 11 месяцев назад
Просмотрено 115 тысяч раз
Можно ли как-то просмотреть php файлы/коды других сайтов?
Или, перефразируя вопрос, может ли мой php-код быть просмотрен кем-либо, кроме тех, у кого есть доступ к файлу?
Если да, то как я могу предотвратить это?
Ps: серверная ОС Ubuntu 9. 10 и версия PHP 5+ (Apache2)
- php
- html
- linux
- безопасность
0
Ошибка или уязвимость в системе безопасности на сервере (либо в Apache, либо в механизме PHP) или в вашем собственном коде PHP могут позволить злоумышленнику получить доступ к вашему коду.
Например, если у вас есть PHP-скрипт, позволяющий людям загружать файлы, и злоумышленник может обмануть этот скрипт, чтобы загрузить некоторые из ваших PHP-файлов, тогда ваш код может быть украден.
Поскольку невозможно устранить все ошибки в программном обеспечении, которое вы используете, если кто-то действительно захочет украсть ваш код и у него достаточно ресурсов, есть разумный шанс, что он сможет это сделать.
Однако, пока вы поддерживаете свой сервер в актуальном состоянии, кто-то с случайным интересом не сможет увидеть исходный код PHP, если только в вашем коде нет очевидных уязвимостей безопасности.
Прочтите раздел «Безопасность» руководства по PHP в качестве отправной точки для обеспечения безопасности вашего кода.
Используя эксплойты или плохо сконфигурированные серверы, можно загрузить исходный код PHP. Однако вы можете запутать и/или зашифровать свой код (используя Zend Guard, Ioncube или подобное приложение), если хотите убедиться, что ваш источник не будет читабельным (точнее, запутывание само по себе может быть отменено при наличии достаточного времени/ресурсов). , но я еще не нашел дешифратора IonCube или Zend Guard…).
Никто не может прочитать файл, кроме тех, у кого есть к нему доступ. Вы должны сделать код доступным для чтения (но не для записи) веб-сервером. Если обработчик php-кода работает правильно, вы не можете прочитать его, запросив имя с веб-сервера.
Если кто-то взломает ваш сервер, вы рискуете. Убедитесь, что веб-сервер может записывать только в те места, которые ему абсолютно необходимы. В /var есть несколько мест, которые должны быть правильно настроены вашим дистрибутивом.