Codeigniter security

Question

Je me suis demandé à quel point le codeigniter est sécurisé. Parce que les informations comme les mots de passe db etc sont stockés dans les fichiers de configuration dans le dossier de l'application principale pourrait-il être récupérable par les pirates? Je sais que vous pouvez déplacer le dossier de l'application à un emplacement éloigné de la racine Web, mais est-il toujours sûr si vous ne le faites pas?

De même, même si vous l'avez déplacé ailleurs, le chemin d'accès à cet autre emplacement est codé en dur dans le fichier index.php qui reste dans la racine Web. Je suis sûr qu'il y a une explication simple pour expliquer pourquoi c'est sûr, mais quelqu'un pourrait-il me l'expliquer?

Answer 1

Je suppose que cela dépend du pirate et le type de piratage qu'ils emploient. Si vous demandez si Joe Schmoe peut voir les paramètres du fichier de configuration sur le web, la réponse est non. Voir Can a Client View Server Side PHP Source Code pour plus de détails. Si vous craignez qu'un pirate ne pénètre dans votre serveur pour ce type d'informations, alors vous pouvez investir du temps dans extending or overriding la bibliothèque de base de données native et ajouter un chiffrement pour les informations de la base de données comme vous l'avez lu le fichier de configuration. Ou si vous voulez aller complètement caché sur la configuration, vous pourriez passer du temps à étendre le Config class.

Sur la surface, CodeIgniter est aussi sûr que n'importe quel autre framework PHP à partir du sens du fichier. Placez les règles appropriées de .htaccess et le côté de Web devrait être juste bien. Cela laisse juste la sécurité de votre serveur web.

Answer 2

Essayez de lancer Google Skipfish contre votre application. Voyez s'il peut renifler des failles dans la sécurité. Le cas le plus probable est votre application qui utilise les variables $ _GET et $ _POST directement dans les vues, plutôt que dans le cadre qui expose votre application à certains risques.