Autore Topic: Sicurezza in Virtuemart 1.0.13 a ? .htaccess o php.ini su directory V M? (Letto 7958 volte)

nixthepix · « **il:** 25 Gen 2008, 10:31:05 »

Ho installato su Joomla il componente Virtuemart 1.0.13a.
Configurato il SEF ed inserito il file .htaccess nella root principale.
Mi chiedo se sia possibile, per aumentare la sicurezza del componente, dato che presenta vari forms per l'introduzione di variabili, quindi anche per evitare possibili attacchi XSS Cross Site Scripting dal lato del componente VM, se è possibile inserire il file .htaccess nelle cartelle di VM oppure comunque dalla sola Root controlla gli accessi?
E poi sarebbe utile introdurre il file php.ini (che per altro trovo sul mio host che è joomlahost su /etc/php..) anche in tutte le cartelle che contengono files con estensione.php come consigliato su qualche altro forum. Ma anche quando ciò a che servirebbe in termini pratici?

GiorgioBlu · « **Risposta #1 il:** 25 Gen 2008, 10:40:45 »

Bella domanda, anche se sto ancora cercando di capirla

Puoi spiegarti meglio?

Hai paura che qualcuno posa leggere il contenuto dei file sul server o che qualcuno possa modificare il DB in maniera non autorizzata?

Scusa, non sono un espertissimo, ma mi interessa approfondire la cosa...

nixthepix · « **Risposta #2 il:** 25 Gen 2008, 10:51:37 »

insomma se voglio evitare iniezioni sul SQL:
1 inserire nelle cartelle di Virtuemart .htaccess
2 inserire nelle cartelle di Virtuemart php.ini

AIUTA

? o NO

?

GiorgioBlu · « **Risposta #3 il:** 25 Gen 2008, 11:51:17 »

Per quel che ne sò non centra una mazza con le "iniezioni sul SQL"...

Ragionando terra, terra...

Il client fa una chiamata ad Apache all'indirizzo www.tuosito.it

Apache risponde con delle pagine web (php + query al DB).
Apache sa che deve leggere (se esiste) il file .htaccess che c'è nella root della chiamata www.tuosito.it

(es. nel mio caso /home/miosito/public_html/.htaccess)

NON esiste (che io sappia) che Apache vada in cerca di file .htaccess presenti in altre sotto cartelle
(come ad esempio /home/miosito/public_html/administrator/components/com_virtuemart/)

A meno che, quella sotto cartella non sia anche un dominio di 3livello (ad es. http://virtuemart.miosito.it)
Ma allora a questo punto la chiamata deve avvenire da questo indirizzo)

Non so se riesco a spiegarmi...

Per quanto riguarda invece il file php.ini anche qui rientriamo in un discorso simile...

Ripeto comunque, NON sono un esperto in materia!

Pertanto, se qualcuno ha delle correzioni/suggerimenti da dare, si faccia avanti!

Grassie

marco0906 · « **Risposta #4 il:** 10 Feb 2008, 13:42:58 »

Ciao ragazzi,
questo potrbbe esservi molto utile(anche se non so se è quello che cercate esatamente)
http://trucchiinformatica.blogspot.com/2008/01/proteggere-directory-web-su-apache-con.html

io utilizzo l'.hataccess per proteggere anche sottocartelle e funziona egregiamente!

L'unica cosa che non accenna l'articolo che vi ho linkato è che se il vostro sito gira su server linux/unix le password nell'.httpasswd potrebbero dover essere criptate in md5 per essere riconosciute

ciao

Autore Topic: Sicurezza in Virtuemart 1.0.13 a ? .htaccess o php.ini su directory V M? (Letto 7958 volte)

nixthepix

Sicurezza in Virtuemart 1.0.13 a ? .htaccess o php.ini su directory V M?

GiorgioBlu

Re: Sicurezza in Virtuemart 1.0.13 a ? .htaccess o php.ini su directory V M?

nixthepix

Re: Sicurezza in Virtuemart 1.0.13 a ? .htaccess o php.ini su directory V M?

GiorgioBlu

Re: Sicurezza in Virtuemart 1.0.13 a ? .htaccess o php.ini su directory V M?

marco0906

Re: Sicurezza in Virtuemart 1.0.13 a ? .htaccess o php.ini su directory V M?