0
2
PHPの勉強中にクラスファイルやconfigファイルをhtdocsの上位ディレクトリに保存するように教わりました。
確かに、configファイルにDBのパスワードを保存していたら、他人に覗き見されると大変でしょう。
しかし、普通にブラウザで対象のphpファイルを叩いても内容が表示されるわけもなく、ソース表示させても表示されません。
なら、別にhtdocs内でも良いのでは?と思うのですが、いかがなものなのでしょうか?
教わったようにhtdocsの上位ディレクトリに保存しようと思うのですが、ftpで送るときにいっぺんに送れなくて不便なので、htdocsの中に含めています。(ただのテストサイトなので問題ありません)
ちなみに、今度、個人情報が入った情報を取り扱うかもしれません。
そんな理由でhtdocs内と上位ディレクトリが気になった次第です。
とりとめもありませんが、お教えくだされば幸いです。
回答8件
#1
総合スコア88163
投稿2023/02/12 05:27
しかし、普通にブラウザで対象のphpファイルを叩いても内容が表示されるわけもなく、ソース表示させても表示されません。
あくまでも、普通に、するなら表示されない、ってだけですよね。
ということは、普通じゃないアクセスをすれば表示されるかもしれないってことですね。
それでいいということならそれでいいんじゃないでしょうか。
#2
なるほど・・・普通の方法じゃなければ見れてしまうわけですね。
さすがにDBのパスワードが見えてしまうと、DBに個人情報が置けなくなってしまいます。
きちんとhtdocsの上位ディレクトリに保存するようにします。
#3
これはクローズできないのですか?
https://teratail.com/help#about-discussion-closed
このように放置していていいのですか?
#4
総合スコア146544
投稿2023/02/12 06:03
セキュリティには、多重防護という考え方があります。
相互干渉しないようなセキュリティ対策であれば、複数を同時に適用することで、仮に1つが破れた場合でももう一方が効果を発揮して、安全性が保たれる、というものです。
今回の場合、「コードレベルで直接アクセスされても問題ないような実装を行う」ことと「そもそも公開フォルダに重要なコードを置かない」ことは両立しますし、たとえばサーバの設定ミスでPHPが実行されなくなったような場合には後者の対策しか有効でなくなります。
#5
なるほどですね。
自衛で出来ることはしといた方がいいよ。ということですね。
そんな最低限なレベルをしとかないで、後で泣いても知らないよ。というレベルの話なのですね。
#6
総合スコア88163
投稿2023/02/12 06:32
見れるようなとこ置いといて設定やコードで見れないようにしておく、ってより、最初から見れないところに置いとけばいいやんってはなしですわな
最初は設定をきちんとしてたけど、後々の改修やなんやで見れる状態になってしまったというのはあるあるですねー
#コメントできない!って思ったら意見交換なのね。。
#7
勉強中の身なので、GCP(VISION)のAPIキーなんかもオンコードしてたりします。
悪用というか、嫌がらせの対象になったら、請求が発生しちゃいますね。
あるあるなのも理解できます。
#8
総合スコア2043
投稿2023/02/12 16:38
"index of" name size modified
で検索するとファイル・ディレクトリ一覧がいろいろ引っかかりますが、すべてが意図的に一覧表示しているサイトなのかどうか。意図せず一覧表示されてしまっているサイトってどれくらいあるんでしょうねぇ。
と考えると人間はミスしやすいものなので、多少 Web サーバの設定をミスっても見えないところに置いておくほうが安全ではあります。
その他ご参考: https://www.ipa.go.jp/security/awareness/vendor/programmingv2/web.html
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。