긴급 - 서버에 PHP코드파일에 대한 직결요청 방지
본문
안녕하세요.
주말에 도움요청드려서 미안합니다.
서버에 PHP소스들이 있는데 제일 상위에는 index.php파일과 a라는 폴더가 있습니다.
a 폴더안에는 admin.php 를 비롯한 PHP코드파일들이 있는데요. 문제는 유저가 웹브라우저에서
http://domain.com/a/admin.php 이렇게 직접 접근가능해서 그러는데 이거 어케 막지 못하나요?
답변 4
거 a폴더안에 .htaccess 파일을 만들고
deny from all이렇게 편집해놓으면 웹브라우저에서 직접 연결 막을수 있습니다.
.htaccess 파일을 줄수 보내줄수 없나요?
그냥 notepad 로 작성한다음 파일명을 .htaccess 로 변경하면 됩니다.
네 그렇게 하니 잘 되네요, 감사합니다.
그리고 주말에 도와주신 베르만 님과 리오닥터님께도 ....
그럼, 사이트에서 해당 파일로 링크 걸면 그땐 연결이 되는 건가요?
https://github.com/gnuboard/gnuboard5/blob/master/config.php#L7
https://github.com/gnuboard/gnuboard5/blob/master/head.php#L2
https://github.com/gnuboard/gnuboard5/blob/master/shop.config.php#L2
링크가 도움이 될지 모르겠습니다.
뭐.. 유저 못오게 하려면 첫번째 경로를 유출 하지 말아야하고...
두번쨰는 if(!$is_admin) alert("접근불가"); 이런 조건문이 최상위에 있어야되요
그럼 코드파일이 100개라면 모두 그렇게 작성해주어야 하나요?
근데 위에 답변들은 이게 로그인될때 접속 해야되야할건데...
최상위에다가 간단하게 php 소스만 넣고 해야지 문제 없을건데요
.htaccess
<Files "admin.php">
Order deny,allow
Deny from all
Allow from <관리자 IP 주소>
</Files>
<관리자 IP 주소> 부분을 실제 관리자의 IP 주소로 변경하시면 됩니다.
이렇게 설정하면 관리자 IP 주소를 가진 사용자만 admin.php 파일에 접근할 수 있게 설정할 수 있습니다.
감사합니다. 이게 좀더 나아 보입니다.
