XF 1.5 Вызов php из строки браузера

BIOMOND

✵Антигерой✵
Проверенные
Сообщения
1,866
Решения
21
Реакции
2,869
Баллы
8,440
Доброго времени суток, уважаемые форумчане.

Не совсем уверен,что тема для этого раздела, но все же нужна "техническая поддержка"))
Перейдем к сути.Допустим, имею 2 разных сайта на 2х разных хостингах.
Хочу вызвать php файл,для этого указываю путь до него в строке браузера.
На первом хостинге нет проблем, а вот второй говорит,что нет прав т.е. "Forbidden You don't have permission to access /library/123/Xenforo123.php on this server."
Правильно ли я понимаю,что на втором хостинге нужно включить какое-то php расширение?
Заранее благодарю за помощь.

С уважением,
Денис.
 
Как минимум, глупо класть php файлы в папку library, которые будут в будущем выполняться через адресную строку.
По делу: посмотрите наличие .htaccess в папке library (а он там есть), посмотрите содержание:
Код:
Order deny,allow
Deny from all

Сервер будет блокировать все запросы к папке и файлам в этой папке, которые вызваны не сервером, а напрямую.
(П.с: бегите от хостера, где выполняется спокойно открывается файл в папке /library)

А ещё сам движок не даст залезть в какую-либо папку с php скриптами, ибо в корне сайта есть .htaccess, который перенаправляет все запросы на корень сайта (index.php)
 

Вложения

  • Безымянный.png
    Безымянный.png
    701.3 KB · Просмотры: 25
  • Мне нравится
Реакции: Hope
grisha2217, Если возможен вызов файла из папки /library то можно напрямую получить все данные из конфигурационного файла движка. а в нём хранятся хост MySql так же название базы,пароль и логин.
 
grisha2217, Если возможен вызов файла из папки /library то можно напрямую получить все данные из конфигурационного файла движка. а в нём хранятся хост MySql так же название базы,пароль и логин.
И давно в config.php вставляют echo ?
 
движок не даст вызвать файл из папки library
Сам движок никак не может помешать вызвать config.php через браузер (просто физически не сможет, фантастика этажом выше), заблокировать такой запрос можно только на уровне web-сервера (htaccess/etc). Другой вопрос что прямой вызов файла не приведет ни к каким результатам на нормально работающем web-сервере - config.php будет обработан интерпретатором php и ничего не покажет на выхлопе. config.php можно прочитать средствами php (например шелл), но в этом случае нет проблем прочитать любой файл в зоне досягаемости php, запущенным от пользователя.

Точно так же, движок форума не может помешать напрямую обратиться к любому файлу напрямую. Куда отправить запрос и чем его обработать - удел web-сервера (пресловутый htaccess/etc).
 
Последнее редактирование:
Smalesh, вот именно что файл htaccess в котором прописано Deny from all. Настройка сервера apache не даст даже запуститься запрашиваемому файлу. сервер просто не даст подобратся близко к нему сразу вылетит ошибка. Ибо доступ к нему имеют только те скрипты которые находятся в директории сайта.
 
Он знает всё, но тут дело уже в другом.:-)
Если возможен вызов файла из папки /library то можно напрямую получить все данные из конфигурационного файла движка. а в нём хранятся хост MySql так же название базы,пароль и логин
Вот пример, типичный config.php типичного xenforo
Код:
<?php

$config['db']['host'] = 'localhost';
$config['db']['port'] = '3306';
$config['db']['username'] = 'blabla';
$config['db']['password'] = 'blala';
$config['db']['dbname'] = 'blala';

$config['superAdmins'] = '1';
Сколько не вызывай файл в браузере, а данных для подключения к базе не получишь. Даже если возможен вызов файла из папки /library.
 
Современный облачный хостинг провайдер | Aéza
Назад
Сверху Снизу