Joomla.it Forum

Componenti per Joomla! => Gestione e-commerce => VirtueMart - tips & tricks => : nixthepix 25 Jan 2008, 10:31:05

: Sicurezza in Virtuemart 1.0.13 a ? .htaccess o php.ini su directory V M?
: nixthepix 25 Jan 2008, 10:31:05

Ho installato su Joomla il componente Virtuemart 1.0.13a.
Configurato il SEF ed inserito il file .htaccess nella root principale.
Mi chiedo se sia possibile, per aumentare la sicurezza del componente, dato che presenta vari forms per l'introduzione di variabili, quindi anche per evitare possibili attacchi XSS Cross Site Scripting dal lato del componente VM, se è possibile inserire il file .htaccess nelle cartelle di VM oppure comunque dalla sola Root controlla  gli accessi?
E poi sarebbe utile introdurre il file php.ini (che per altro trovo sul mio host che è joomlahost su /etc/php..) anche in tutte le cartelle che contengono files con estensione.php come consigliato su qualche altro forum. Ma anche quando ciò a che servirebbe in termini pratici?

: Re: Sicurezza in Virtuemart 1.0.13 a ? .htaccess o php.ini su directory V M?
: GiorgioBlu 25 Jan 2008, 10:40:45

Bella domanda, anche se sto ancora cercando di capirla  ;D

Puoi spiegarti meglio?

Hai paura che qualcuno posa leggere il contenuto dei file sul server o che qualcuno possa modificare il DB in maniera non autorizzata?

Scusa, non sono un espertissimo, ma mi interessa approfondire la cosa...

: Re: Sicurezza in Virtuemart 1.0.13 a ? .htaccess o php.ini su directory V M?
: nixthepix 25 Jan 2008, 10:51:37

insomma se voglio evitare iniezioni sul SQL:
1 inserire nelle cartelle di Virtuemart .htaccess
2 inserire nelle cartelle di Virtuemart php.ini

AIUTA   ??????????  o NO  ??????????

: Re: Sicurezza in Virtuemart 1.0.13 a ? .htaccess o php.ini su directory V M?
: GiorgioBlu 25 Jan 2008, 11:51:17

Per quel che ne sò non centra una mazza con le "iniezioni sul SQL"...

Ragionando terra, terra...

Il client fa una chiamata ad Apache all'indirizzo www.tuosito.it

Apache risponde con delle pagine web (php + query al DB).
Apache sa che deve leggere (se esiste) il file .htaccess che c'è nella root della chiamata www.tuosito.it

(es. nel mio caso /home/miosito/public_html/.htaccess)

NON esiste (che io sappia) che Apache vada in cerca di file .htaccess presenti in altre sotto cartelle
(come ad esempio /home/miosito/public_html/administrator/components/com_virtuemart/)

A meno che, quella sotto cartella non sia anche un dominio di 3livello (ad es. http://virtuemart.miosito.it)
Ma allora a questo punto la chiamata deve avvenire da questo indirizzo)

Non so se riesco a spiegarmi...  ;D

Per quanto riguarda invece il file php.ini anche qui rientriamo in un discorso simile...

Ripeto comunque, NON sono un esperto in materia!

Pertanto, se qualcuno ha delle correzioni/suggerimenti da dare, si faccia avanti!

Grassie  ;) ;D

: Re: Sicurezza in Virtuemart 1.0.13 a ? .htaccess o php.ini su directory V M?
: marco0906 10 Feb 2008, 13:42:58

Ciao ragazzi,
questo potrbbe esservi molto utile(anche se non so se è quello che cercate esatamente)
http://trucchiinformatica.blogspot.com/2008/01/proteggere-directory-web-su-apache-con.html (http://trucchiinformatica.blogspot.com/2008/01/proteggere-directory-web-su-apache-con.html)

io utilizzo l'.hataccess per proteggere anche sottocartelle e funziona egregiamente! :)
L'unica cosa che non accenna l'articolo che vi ho linkato è che se il vostro sito gira su server linux/unix le password nell'.httpasswd potrebbero dover essere criptate in md5 per essere riconosciute

ciao