Ir para conteúdo
  • 0
Visitante

Permissões de Pastas [Gravar SOMENTE por FTP. Por HTTP, só leitura]

Pergunta

Visitante

Olá pessoal. Problema bem simples, mas infelizmente não achei solução em pesquisas convencionais.

 

Quero que uma pasta, em meu servidor de HOSPEDAGEM WEB - (Hostgator - Linux), permita apenas gravação via Cliente FTP(Filezilla por exemplo). E proíba qualquer tipo de gravação/alteração de arquivos via HTTP(Uploads, por exemplo). Acredito que seja necessário apenas aplicar um certo código de permissão de arquivo, mas infelizmente eu não sei esse código.

Compartilhar este post


Link para o post
Compartilhar em outros sites

4 respostas a esta questão

Recommended Posts

  • 0

Uma alternativa é deixar a pasta com permissão 644 assim não vai conseguir subir arquivos via código.

Só se o script inserir permissão automaticamente.

 

Compartilhar este post


Link para o post
Compartilhar em outros sites
  • 0
Visitante
Em 2017-5-20 at 12:43, magno barbosa disse:

Olá, basta você acessar a opção gerenciador de usuários no CPanel, e criar um novo usuário apenas com acesso FTP, na opção disco web marque apenas leitura.

 

Se não houver permissões HTTP, ninguém consegue acessar o site. O que eu precisava mesmo era o código que permite que internautas acessem o site, mas não consigam listar diretórios e também que nenhum script(nem mesmo os do próprio site) consiga "injetar arquivos" na raiz do site (apenas na pasta /imagens, será permitido).

A permissão 644, que o Leandro de Jesus sugeriu BLOQUEIA TODO O SITE, não abre nenhuma página.

A melhor que eu encontrei, para o servidor HOSTGATOR, foi a permissão 751 (Todos podem EXECUTAR, Somente o grupo e o Root podem LER, e Apenas o Root pode gravar.

Isso permitiu abrir o site NORMALMENTE, e IMPEDE que as pastas sejam LISTADAS. Mas ainda não testei se também impede que um script PHP do próprio site INSIRA arquivos dentro da raiz do site.

 

Estou tendo problemas de segurança. Não sei de que forma, mas ALGUÉM está conseguindo SOBREPOR meus arquivos e prejudicando minha imagem perante os meus clientes. Desconfio que sejam concorrentes.

Além de sobrepor o índice, eles colocam um arquivo chamado "d.php", que altera o conteúdo das imagens do site. Também colocam uma arquivo de nome "GOD.htm", entre outros.

 

Não sei como fazem isso (MySQL INJECTION ??? PHP INJECTION ??? Javascript ???). Mas fazem.

 

Por isso estou procurando uma maneira que o servidor rejeite qualquer gravação, inclusive do próprio site, EXCETO, é claro, na pasta FOTOS/IMAGENS que é  o único local onde meus clientes precisam SUBIR arquivos de seus produtos. Até porque, se os "malandros" colocarem lá scripts(php,htm,html), não servirão para nada.

 

Isso seria uma solução provisória até que eu consiga entender onde está a falha de segurança nos meus PHPs.

Compartilhar este post


Link para o post
Compartilhar em outros sites
  • 0

Olá, então a sua questão é mais complexa do que pensa, e nesse caso precisa matar o mau pela raiz, vamos lá:

 

1° Escaneie o site usando : https://sitecheck.sucuri.net/;

2° Remova os arquivos apontados pela aplicação;

3° Notifique os erros via chamado para o Host e implemente as correções sugeridas.

 

Abraço.

 

 

 

Compartilhar este post


Link para o post
Compartilhar em outros sites

Crie uma conta ou entre para comentar

Você precisar ser um membro para fazer um comentário

Criar uma conta

Crie uma nova conta em nossa comunidade. É fácil!

Crie uma nova conta

Entrar

Já tem uma conta? Faça o login.

Entrar Agora

  • Conteúdo Similar

    • Por caioandreis
      Olá, pessoal. Tudo bem?
      Gostaria de pedir um direcionamento com a seguinte situação:
       
      Tenho um amigo que tem um site feito em php, com painel gerenciador de conteúdo. Como estou estudando mais a fundo php agora, gostaria de pegar um site que funciona e estudar em cima dele: (alterar tanto layout quanto incluir/retirar novas funcionalidades).
       
      Meu amigo liberou o acesso ao ftp e banco de dados dele, para eu fazer uma cópia e colocar em um localhost (xampp) para estudar em cima dele. Assim, não corro risco de danificar o site dele que está no ar.
       
      Já estou com a pasta do site dentro do htdocs, e o banco de dados importado no phpmyadmin, porém ao tentar acessar o site, o browser acusa erro no servidor. 500
       
      Busquei tutoriais sobre isso, mas encontrei apenas passo-a-passo para sites em wordpress. Com isso, vem a pergunta:
       
      Alguém tem algum tutorial ou poderia me dizer como faço para "plugar" o site com o banco de dados no localhost? 
       
      Peço desculpas se a pergunta é muito leiga mas, como não encontrei nada específico sobre o assunto, achei que valia a tentativa.
       
      Desde já, agradeço pela atenção.
       
      Caio
       
       
       
       
    • Por leandrosv
      Boa tarde pessoal, uma dúvida somente,se conseguirem  me responder ficarei grato!.
      Programo em php há 6 meses. Até o momento foquei em aprender e fazer para  mim.
      Peguei meu primeiro projeto, para um amigo, porém design, css e javascript não é meu forte, falta criatividade e aprender bastante sobre o JS.
      A duvida é a seguinte: Comprei um tema no themeforest.net à escolha dele(amigo), e o tema veio com puglins woocommerce, a minha dúvida é se posso hospedar e utilizar normalmente no site esses plugins sem usar o sistema wordpress. Editei o código js e css do que não me interessa e está funcionando legal. A dúvida mesmo, unica dúvida é se posso e vou conseguir rodar meu site em uma hospedagem normal sem o sistema wordpress.
      Obrigado!
      **moderadores e administradores do fórum, caso seja aqui um tópico errado, perdão, procurei mas não achei nada a respeito do assunto.
    • Por M. Alberto
      Estou realizando a migração de meu site que utiliza um banco de dados em mySQL PHP porém estou obtendo erro.
       
      Criei o banco de dados e fiz upload dos arquivos, porém agora neste servidor não roda de maneira alguma. Alguém poderia me ajudar ?
    • Por DinhoPHP
      Olá!
      Estou com um problema jamais visto antes e nunca pensei que se tornaria um algum dia. Estou desenvolvendo um site, porém no arquivo index.php, ao ser enviado para o servidor da Hostgator, tudo que está em uma tag PHP em diante é ignorado, inclusive tags HTML5. No arquivo, há tags PHP antes dessa e são interpretadas tanto no XAMPP quanto na Hostgator, já a "tag problemática", funciona normal no XAMPP, porém não Hostgator. Segue o código, marquei o trecho ignorado pelo servidor, com uma linha de comentário em HTML5.
       
      index.php
      <!DOCTYPE html> <html lang="pt-br"> <head> <title>Royal Poker</title> <meta charset="UTF-8"> <meta name="viewport" content="width=device-width, initial-scale=1, shrink-to-fit=no"> <!-- ESTILO CSS DO PROGRAMADOR --> <link rel="stylesheet" href="_css/estilo_adicional.css"> <!-- DEPENDÊNCIAS DO BOOTSTRAP ONLINE DE ESTILO --> <!--<link rel="stylesheet" href="https://stackpath.bootstrapcdn.com/bootstrap/4.1.3/css/bootstrap.min.css" integrity="sha384-MCw98/SFnGE8fJT3GXwEOngsV7Zt27NXFoaoApmYm81iuXoPkFOJwJ8ERdknLPMO" crossorigin="anonymous">--> <!-- DEPENDÊNCIAS OFFLINE --> <link rel="stylesheet" href="node_modules/bootstrap/compiler/bootstrap.css"> <link rel="stylesheet" href="_css/main.css"> </head> <body> <div class="container-fluid fixed-top" style="z-index: 9999;"> <ul id="estados" class="navbar-nav fixed-top justify-content-start flex-row" style="background-color: #b4954f; font-size: 12px;"> <li> <a href="http://www.h2club.com.br" target="_self" class="navigation-link atual"> SÃO PAULO </a> </li> <li> | </li> <li> <a href="http://campinas.h2club.com.br" target="_self" class="navigation-link "> CAMPINAS </a> </li> <li> | </li> <li> <a href="http://curitiba.h2club.com.br" target="_self" class="navigation-link "> CURITIBA </a> </li> </ul> </div> <?php require_once"_include/menu_top.php";?> <div class="content-fluid" style="margin-top: 6rem;"> <?php require_once"_include/slide_top.php"; ?> </div> <div class="content-fluid text-uppercase text-center" style="margin-top: 6rem;"> <img src="_imagens/logo-rewards-meio.png" class="img-fluid" alt=""> <h2>PROGRAMA DE RECOMPENSAS DO H2 CLUB</h2> <h4>Acumule pontos enquanto joga Poker e troque por muitos prêmios e benefícios</h4> </div> <div class="flex-column w-100 justify-content-center text-uppercase text-justify"> <?php require_once"_include/opcoes_meio.php"; ?> </div> <div class="content-fluid justify-content-center"> <img src="_imagens/banner_meio.jpg" class="img-fluid" alt=""> <!-- TUDO É IGNORADO PELA HOSTGATOR E NÃO NO XAMPP --> <?php require_once"_include/calendario.php"; ?> </div> <?php require_once"_include/calendario.php"; ?> <?php require_once"_include/footer.php"; ?> <!-- DEPENDÊNCIAS DO BOOTSTRAP ONLINE NESSA ORDEM E AQUI NO FIM DO BODY --> <!--<script src="https://code.jquery.com/jquery-3.3.1.slim.min.js" integrity="sha384-q8i/X+965DzO0rT7abK41JStQIAqVgRVzpbzo5smXKp4YfRvH+8abtTE1Pi6jizo" crossorigin="anonymous"></script> <script src="https://cdnjs.cloudflare.com/ajax/libs/popper.js/1.14.3/umd/popper.min.js" integrity="sha384-ZMP7rVo3mIykV+2+9J3UJ46jBk0WLaUAdn689aCwoqbBJiSnjAK/l8WvCWPIPm49" crossorigin="anonymous"></script> <script src="https://stackpath.bootstrapcdn.com/bootstrap/4.1.3/js/bootstrap.min.js" integrity="sha384-ChfqqxuZUCnJSK3+MXmPNIyE6ZbWh2IMqE241rYiqJxyMiZ6OW/JmZQ5stwEULTy" crossorigin="anonymous"></script>--> <!-- DEPENDÊNCIAS DO BOOTSTRAP OFFLINE NESSA ORDEM E AQUI NO FIM DO BODY --> <script src="_jquery/jquery-3.3.1.slim.min.js"></script> <script src="_bootstrap4_1_3/popper.js/dist/umd/popper.min.js"></script> <script src="_bootstrap4_1_3/_js/bootstrap.min.js"></script> <script> $(document).ready(function(){ $('[data-toggle="popover"]').popover(); }); </script> </body> </html>  
    • Por fael97
      Olá a todos bom dia, tarde ,noite...
      bem estou com um problema meio chato, sempre que relogo a página no meu site a sessão que estava salva some.. eu preciso muito dela pois ela quem me mantem logado e navegando pelo site..
      a estrutura do meu site é assim. É uma rede social: www.onfamily.com.br.
      tenho a pagina de login que me leva para index, paginas de navegação que leva para pagina de cadastro de família caso não houver a sessão família. e caso não houver login nem senha  me leva pra pagina de login novamente.
      o problema é que quando eu logo, após ir para página de navegação mostra a sessão família la emcima, mas quando eu relogo a página a sessão some, e me leva para página de cadastro de família, sendo que a família ja foi cadastrada e validade na página de login do qual está na sessão. alguem poderia me ajudar com este bug? pra não precisar ficar fazendo várias consultas sempre quando relogo a página?
       
      meu codigo é assim:
       
      Página processa_login: 
       
      <?php 
          if((isset($_POST['email'])) and (isset($_POST['senha']))){
              //inclui arquivos de classes
              include('classes/classes.inc.php');
              //inclui arquivo de funcoes
              require_once('funcoes/conexao.func.php');
              $conn = Conn();
              if(!isset($_SESSION)) session_start();
              //recupera dados do form
              $email = $_POST['email'];
              $senha = utf8_encode($_POST['senha']);
              //instãncia novo objeto login da classe login
              $login = NEW Login("","","");
                          
              $retorno_log =  $login->autenticaUsuario("$email","$senha");                        
              if($retorno_log == 1){
                  //atribui os valores a sessão
                  $_SESSION['email'] = $email;
                  $_SESSION['senha'] = $senha;
                  $selecionar = $conn->prepare("
                      SELECT informacoes_usuario.familia FROM informacoes_usuario 
                      JOIN usuarios ON informacoes_usuario.usuario = usuarios.idusuario 
                      WHERE email = ?
                  ");
                  $selecionar->execute(array($email));
                  $registro = $selecionar->fetchAll(PDO::FETCH_ASSOC);
                  if($registro[0]['familia'] != null){
                      $_SESSION['familia'] = $registro[0]['familia'];
                      if(isset($_SESSION['url'])){
                          echo "<script>window.location.assign('$url');</script>";
                      }else{
                          echo "<script>window.location.assign('nav/index.php');</script>";
                      }                            
                  }else{
                      echo "<script>window.location.assign('cadastro/criar_familia.php');</script>";
                  }
              }else{
                  echo "usuário ou senha incorretos";
              }            
          }else{
              echo "Houve um erro interno. <a href=\"javascript:history.back()\">Voltar</a>";
          }
      ?>                
       
      trecho da página index: 
          //se não existe sessão, então inicia
          if(!isset($_SESSION)) session_start();
          
          //$_SESSION['url'] = $_SERVER['REQUEST_URI'];    
          //aqui imprime da primeira vez que faço o login, mas quando relogo a página a sessão some!, obs: a sessão email e senha continuam la
          echo $_SESSION['familia'];
          echo $_SESSION['email'];
          echo $_SESSION['senha'];
          if((!isset($_SESSION['email'])) and (!isset($_SESSION['senha'])) and (!isset($_SESSION['familia']))){
              header('location: ../index.php');
          }elseif((isset($_SESSION['email'])) and (isset($_SESSION['senha'])) and (!isset($_SESSION['familia']))){
              header('location: ../cadastro/criar_familia.php');
          }
       
      alguem da um help por favor, porque a sessão família está aparecendo somente uma vez e sumindo, e a sessão email e senha não está? 
      obs: no servidor local funciona perfeitamente, e antes estava funcionando normalmente após alterar alguns trechos que nem lembro mais oque é.
×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.