Disa
Legacy Member
Ja, daar heb ik het ook over.
Stel je hebt een directory met je website code in (php, html, ..) op /var/example.com/www die geserved wordt door Apache.
Dan zorg je ervoor dat je config.php op /var/example.com/config.php staat en dus NIET in /var/example.com/www/config.php .
IIRC, was de apache config verdwenen en was de default config teruggeplaatst bij een update. Hier stonden de nodige regels voor php interpretatie niet in. Met als gevolg dat alle .php files gewoon gedownload werden. Met als gevolg dat onze config.php ook downloadbaar was.
Als je je config.php buiten je www directory plaatst, kan dit niet voorvallen.
Ik geef toe, het is nogal een serieuze edge case, maar sindsdien worden config files met sensitive data (passwords, API keys, ..) ALTIJD buiten de www dir geplaatst.
*EDIT: dus niet hackers, maar gewoon voorkomen dat je eigen stommiteiten tot password leaks leiden.
@robin Het komt er gewoon op neer dat je niet meer kan "surfen" naar /config.php omdat het er simpelweg niet meer is. Normaal gezien is het niet erg dat je er naar kan surfen. Het is maar erg als je .php files niet meer door de php interpreter gaan en Apache je ze gewoon laat downloaden.
Stel je hebt een directory met je website code in (php, html, ..) op /var/example.com/www die geserved wordt door Apache.
Dan zorg je ervoor dat je config.php op /var/example.com/config.php staat en dus NIET in /var/example.com/www/config.php .
IIRC, was de apache config verdwenen en was de default config teruggeplaatst bij een update. Hier stonden de nodige regels voor php interpretatie niet in. Met als gevolg dat alle .php files gewoon gedownload werden. Met als gevolg dat onze config.php ook downloadbaar was.
Als je je config.php buiten je www directory plaatst, kan dit niet voorvallen.
Ik geef toe, het is nogal een serieuze edge case, maar sindsdien worden config files met sensitive data (passwords, API keys, ..) ALTIJD buiten de www dir geplaatst.
*EDIT: dus niet hackers, maar gewoon voorkomen dat je eigen stommiteiten tot password leaks leiden.
@robin Het komt er gewoon op neer dat je niet meer kan "surfen" naar /config.php omdat het er simpelweg niet meer is. Normaal gezien is het niet erg dat je er naar kan surfen. Het is maar erg als je .php files niet meer door de php interpreter gaan en Apache je ze gewoon laat downloaden.
