Kategoriler
PHPXI

PHPXI: Geliştirici Günlüğü #1

defined INDEX

PHPXI versiyon 1.6.2 sonrasında bazı geliştiricilerin PHPXI dizinini ziyaretçilerin ulaşabildiği public_html dizininde tuttuğunu gözlemledim. Bu bazı ciddi güvenlik riskleri oluşturuyor.

PHPXI klasörü içerisinde hem sisteme hemde uygulamanıza ait back-end dosyalarını barındırması sebebi ile güvenliğinin sağlanması gerekir. En başından beri bu dizini public_html haricinde üst dizinde tutmamın amacı da buydu. Ziyaretçiler bu dizine ulaşamayacaktı.

Gözlemlediğim kadarıyla bazı geliştiriciler farklı sebeplerden dolayı, back-end dosyalarının bulunduğu bu dizini ziyaretçilerin ulaşabildiği dizin içerisinde tutmayı seçiyor.

Bu durumda oluşabilecek güvenlik risklerinin önüne geçebilmek için başka bir amaçla kullanılmayan bir INDEX sabiti oluşturuldu. Detaylarını buradan inceleyebilirsiniz.

Version 1.6.2 ve ya daha eski bir sürüm kullanıyor ve PHPXI dizinini ziyaretçilerin erişebildiği bir yerde tutuyorsanız, güvenlik amacıyla bu işlemi kendiniz yapabilir ya da mevcut “Master” sürümü ile projenizi güncelleyebilirsiniz.

Bu tür bir güvenlik riskinden kaçınmak için proje dosyalarının başında INDEX sabitini kontrol etmenizi şiddetle tavsiye ediyorum.

if(!defined("INDEX")){ die("You are not authorized to access"); }

Teşekkür eder, iyi çalışmalar dilerim!

Bir Cevap Yazın