seguridad directorio

Hola maestr@s:

Es una cuestion de seguridad, tengo una web en la que si pones una ruta

www.xxxxx.com/donde/

me sale un listado de todos los archivos que hay aqui dentro, sé que con un index o con los privilegios se solucionaria pero
¿TIENE ALGUNA PEGA DE SEGURIDAD DEJARLO ASI?

Muchas gracias y un abrazo de un PHPero+

Pues seria conveniente que pusieras seguridad a dicha página ... porque donde el usuario por casulidad(y pasa de verdad)teclee esa direccion ya valio...dijo no hay problema pero es conveniente mejor no mostrar los archivos que tienes en servidor puedes dar pie a que te detecten errores y te "inyecten" código

ya pero aparte ver el listado de archivos del directorio

¿q pueden hacer?

te detecten errores y te "inyecten" código

YO pienso que como mucho podria descargarse el archivo php interprtado osea el html pero no ver mi codigo php ¿NO?

muxas gracias

En principio todo dependerá de que archivos tengas ahí y que hagan tus aplicaciones.

Imagina un script tuyo que haga descargas de archvios .. algo tipo:

script.php?archivo=nose.tal

Donde le pasas un nombre de archivo (y hasta con ruta) .. y descarga el archivo .. Eso, (por supuesto depende de tus validaciones y otra lógica en tu script.php) sumado a que "puedo" ver los nombres de archivos . .me daría pié a "intentar" bajarme algún "config.php" donde almacenese datos críticos como contraseñas para conexión a tus BBDD o scripts (código fuente de PHP).

La primera regla de "seguridad" en todo sistema es "no dar información" .. no mostrar listado de archivos que contiene ... no mostrar mensajes de error del lenguaje (PHP) que desvelen rutas o nombres de escripts .. etc.

Un saludo,

gracias por responder

si sé que no lo es ideal, pero no logro comprender como pueden ver el codigo php (scripts), "inyecten" código siempre seria el interpretado que es html

no??

y si estoy equivocado

hay alguna manera??

pq show_source solo funcionaria si estuviera dentro de mi servidor

muxas gracias

Si yo veo un nombre de un script.php tuyo cualquier y lo llamo atraves de un navegador cualquiera por una llamada HTTP:

http://www.tusitio.tal/nose/archivo.php

Ahí en mi "navegador" (cliente) veré lo que la ejecución de ese script dé como resultado y entregue como salida .. sea "nada" o lo que haga. En ningún caso el código "PHP"


Si, sólo de los archivos locales de ese servidor si no se aplican otras restricciones dentro del mismo servidor. Y no sólo con esa función .. también con cualquier otra tipo: fopen(), file() .. include() .. Aquí lo que "manda" es la llamada que haces al archivo; si es por ruta "absoluta" (c:\nose\tal o /var/www/sitio.com/public_html/ ...) o por HTTP (http://....)

Por eso mismo mi comentario (que no sé si te lió más o no entendistes) hace referencia a "servidores virtuales" y servidores compartidos (por más usuarios y sitios que maneje el mismo servidor).

Imagina que tu tienes el sitio nose.com .. yo tengo el otro.com .. ambos albergamos nuestros sitios con el mismo proveedor y nos dá este el mismo servidor: tú físicamente en ese servidor estás en: /var/www/nose.com/public_html y yo al lado en /var/www/otro.com/public_html .. Según lo que describí en el anterior mensaje .. podría probar a tomar archivos de tu "nose.com" indicando rutas "absolutas" .. pero las de tu sitio . .no el mio usando desde scripts.php ubicados en otro.com (hablo de que somos usuarios del mismo servidor) con funciones tipo file() .. fopen() .. show_source() .. include() ..

(por cierto .. con "fopen()" simplemente o con cualquier función que "abra" o lea un archivo puedo ver el código .. lo que no lo veré es "coloreado" en la página HTML si es que así lo muestro como hace la función show_source() o equivalente).

Un saludo,