Академический Документы
Профессиональный Документы
Культура Документы
Login Cadastre-se
0
Os arquivos .inc, feitos exatamente para includes não são arquivos tão confiáveis. Isso acontece pelo fato de
os servidores os interpretarem como arquivos texto ou os disponibilizarem para download.
O arquivo conexao.inc(nome bem sugestivo para um hacker, não?) tem o seguinte conteúdo:
<?php
$conn = mysql_connect('localhost','seusite','senhadobanco');
$sel = mysql_select_db('seusite');
?>
A princípio nada mal com o arquivo. Ele é um arquivo PHP e será interpretado corretamente quando incluído. Aí que está
o X da questão.
Suponhamos que este arquivo não seja incluído e alguém descubra que ele está no endereço http://seusite/conexao.inc.
Será que você já sabe o que acontece se a pessoa digitar esta URL no browser? Claro, ela terá acesso a senha de seu
banco, que, muito provavelmente, também é a senha de seu FTP.
Nada mal para alguém que sinta prazer em destruir as coisas dos outros. Esta pessoa terá tudo que quiser em mãos,
desde dados de seus usuários, se você guardar isso, até o controle todo de seu site via FTP.
Páginas: 1 2
Comentários:
Mostrando 1 - 10 de 13 comentários Página seguinte »
os arquivos .inc não existem para ficar na pasta "www" junto com os demais arquivos php, justamente pela falha de
segurança que isso gera.
Geralmente, existe uma pasta chamada "includes", que fica dentro do diretório raiz, assim como o diretório "www" (onde
ficam os arquivos php).
Lá, sim, é o local adequado para deixar os arquivos .inc, pois esta pasta nao pode ser acessada externamente (o unico
diretório dentro do diretório raiz que pode ser acessado externamente é o "www").
Os arquivos php que estiverem dentro da pasta "www" poderão acessar a pasta "includes", já que estão dentro da mesma
máquina local, mas pessoas de redes externas, não conseguirão a menos que possuam a senha do FTP.
Isso mata a idéia de acessos pela URL, baixa do arquivo texto e etc, como dito no tópico.
Além disso, é possível alterar o diretório padrão onde ficam os includes, através do arquivo php.ini...
Os arquivos .inc, quando utilizados corretamente, são muito úteis e seguros e não podem ser acessados pela url a menos
que haja falha de estrutura, como o exemplo abordado no tópico.
1 de 2 05/05/2015 16:12
Arquivos .inc, onde e como utilizar - phpbrasil http://phpbrasil.com/artigo/8aOyOyXHBuy5/arquivos-inc-onde-e-com...
Abraços
ACLourenço
29/03/2004 8:55am (~11 anos atrás)
marcio disse:
muito importante essa dica do include e o mais engraçado é que muita gente acaba se esquecendo desse risco ou não o
conhecendo...
é sempre bom saber que tem gente diposta a alertar para os riscos de segurança...
abraços a todos
Marcio
01/12/2003 12:50pm (~11 anos atrás)
Leonardo disse:
Legal o artigo, mas .INC é uma extensão muito visada... É mais fácil criar uma pasta de includes e tratá-los por .PHP. Usar
um robot.txt para evitar downloads desses arquivos também é muito bom. Todo cuidado é pouco. Na Web então, quase
nada.
17/11/2003 9:23am (~11 anos atrás)
Outra alternativa que não foi discutida é criar uma pasta chamada /inc/ fora do /htdocs/ (ou outro diretório web utilizado). O
conteúdo desta pasta não pode ser baixado pela Internet por não se encontrar em área pública. Salve alí seus arquivos .inc
e chame-os em seus scripts php da seguinte forma:
include("../inc/arquivo.inc");
17/11/2003 9:19am (~11 anos atrás)
Parabéns!
16/11/2003 6:23pm (~11 anos atrás)
É simples Lucas,
um arquivo .inc.php sinaliza claramente que é um include, mas é executado como um script PHP.
Qualquer dúvida, basta postar.
14/11/2003 1:13pm (~11 anos atrás)
Como, nem sempre vc pode adicionar um aplicativo à uma extencao, recomenda-se a utilizacao de algo parecido como
(nome).inc.php, sinalizando claramente, que e um include, mas potencialmente, nao tao perigoso como um .inc
14/11/2003 12:55pm (~11 anos atrás)
2 de 2 05/05/2015 16:12