اذهب إلى المحتوى
  • 0

مجلد public_html في الاستضافة لمشروع laravel

Zerious San

بواسطة Zerious San

 مشاركة

السؤال

Zerious San عضو مساهم

Zerious San

نشر
نشر

رفعت موقع و الكل يقول ان .env يجب ان لا يوضع في public_html لان يمكن البحث عنه و الحصول على المعلومات. انا اتكلم عن مشروع بستخدام Laravel جربت ابحث عن طريق url و لم استطيع دخول .env  مثال (www.mywebsite.com/env) اذا كيف استطيع البحث عنه. و ماهي الاشياء التي يجب فعلها لحماية موقعي؟؟ و كيف اعرف ان موقعي محمي؟

  • أعجبني 1

2 أجوبة على هذا السؤال

Recommended Posts

  • 1
Mustafa Suleiman عضو نشيط

Mustafa Suleiman

نشر
نشر

بسبب إعدادات الويب سيرفر سواء Apache أو Nginx فمعظم الاستضافات الحديثة تقوم  بوضع قواعد تمنع الوصول لأي ملف يبدأ بنقطة . والتي تسمى Dotfiles لأسباب أمنية بطبيعة الحال.

تفقد ملف .htaccess لديك على الخادم في حال تستخدم تستخدم Apache، ستجد كود يمنع الوصول للملفات الحساسة.

لكن بعض السيرفرات لا تكون مهيأة بشكل صحيح لمنع الوصول لتلك الملفات، لذا لا يجب أبدًا وضع أية ملفات حساسة في المجلد العام public_html

فالمخترقون لا يقومون بتجربة المواقع بأنفسهم، بل من خلال بوتات تقوم بمسح ملايين المواقع يوميًا، وتجربة روابط ثابتة مثل /.env، /config، /.git.

ولو استجاب الخادم حتى لو عن طريق الخطأ للحظة، سيقوم البوت بتحميل الملف وسرقة بيانات قاعدة البيانات ومفاتيح التشفير.

كذلك في ملف .env لا تنسى تعطيل وضع التطوير: 

APP_ENV=production
APP_DEBUG=false

فلو أبقيت على APP_DEBUG=true وحدث أي خطأ في الموقع سيقوم لارافيل بإظهار صفحة خطأ تحتوي على كل المتغيرات في .env بما فيها كلمات المرور للزوار.

  • أعجبني 1
  • 0
Zerious San عضو مساهم

Zerious San

نشر
  • الكاتب
نشر
بتاريخ 16 دقائق مضت قال Mustafa Suleiman:

بسبب إعدادات الويب سيرفر سواء Apache أو Nginx فمعظم الاستضافات الحديثة تقوم  بوضع قواعد تمنع الوصول لأي ملف يبدأ بنقطة . والتي تسمى Dotfiles لأسباب أمنية بطبيعة الحال.

تفقد ملف .htaccess لديك على الخادم في حال تستخدم تستخدم Apache، ستجد كود يمنع الوصول للملفات الحساسة.

لكن بعض السيرفرات لا تكون مهيأة بشكل صحيح لمنع الوصول لتلك الملفات، لذا لا يجب أبدًا وضع أية ملفات حساسة في المجلد العام public_html

فالمخترقون لا يقومون بتجربة المواقع بأنفسهم، بل من خلال بوتات تقوم بمسح ملايين المواقع يوميًا، وتجربة روابط ثابتة مثل /.env، /config، /.git.

ولو استجاب الخادم حتى لو عن طريق الخطأ للحظة، سيقوم البوت بتحميل الملف وسرقة بيانات قاعدة البيانات ومفاتيح التشفير.

كذلك في ملف .env لا تنسى تعطيل وضع التطوير: 

APP_ENV=production
APP_DEBUG=false

فلو أبقيت على APP_DEBUG=true وحدث أي خطأ في الموقع سيقوم لارافيل بإظهار صفحة خطأ تحتوي على كل المتغيرات في .env بما فيها كلمات المرور للزوار.

ماذا عن ملفات compser و package هل وجودهم في public_html لا يضر؟ لان جربت احول الوصول لهم لكن لم يسمح لي. استخدمت استضافة hostinger و لم يحدث شيء. اين يجب ان اضع هذه الملفات؟ , لاني بحثت في الانترنت ولم اجد شيء. و هل يحق لي استخدامت ادوات التهكير لاجرب موقعي للتاكد من الامان ام هذا ممنوع؟ بسبب اني استخدم استضافة من hostinger و يمكن يبطء السيرفر .

انضم إلى النقاش

يمكنك أن تنشر الآن وتسجل لاحقًا. إذا كان لديك حساب، فسجل الدخول الآن لتنشر باسم حسابك.

زائر
أجب على هذا السؤال...

×   لقد أضفت محتوى بخط أو تنسيق مختلف.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   جرى استعادة المحتوى السابق..   امسح المحرر

×   You cannot paste images directly. Upload or insert images from URL.

×
 مشاركة
اذهب إلى قائمة الأسئلة

  • إعلانات

  • تابعنا على



×
×
  • أضف...