- 284 名前:デフォルトの名無しさん mailto:sage [2016/04/06(水) 11:58:30.75 ID:MS+65iNt.net]
- >>273
えっ いや違和感あるんだが
メインのphpが流出する⇒db接続に使う資格情報が書いてあるっぽいファイルのパス・名前が流出する、ってことで
で、このdb用ファイルの内容をどのように取得する?
db用ファイルがwebからアクセスできる場所にある場合でも、生txtであったりあるいは設定ミス等によって
webから直アクセスして実行結果ではなくファイル内容そのものが読める場合でない限りは資格情報は盗まれない
<?php $id='user'; $pass='password'; ?> と書かれたファイルを.phpとして実行しても何も返されないわけで
逆に生txtか生txt同然であったならば、chmod 600してても何も防止できない
好きに.php等をアップロード&実行されてしまう状況ならばどこに置いても一緒
mod_phpやfpmからアクセス可能じゃなかったらそもそも使えない
あとはサーバに侵入される、あるいは雑居ビル状態の共用サーバ使ってる場合等
前者はroot権限かdb用ファイルの所有権がないならchmod 600も一応意味があるが侵入されてるなら時間の問題
後者は利用者ごとに実行ユーザを厳しく切り替えてるなら意味を見出せなくもないけど
DocumentRoot外にファイルを配置できる時点でなさげ
だいたいdb接続情報のパスが漏れたらその時点でやばいっつーならmediawikiとか使えなくね
|
 |
