ризик безпеки для requ_once 'app / Mage.php'; в корені Магенто

У мене в корені Magento є файл, який require_once 'app/Mage.php';дає мені доступ до Mage::getStoreConfigсистемних змінних.

Чи викликає це ризик безпеки? Чи слід помістити його в іншу папку?

Це мій файл, /twitter.php :

<?php
require_once 'app/Mage.php';
Mage::app();
$consumer_key = Mage::getStoreConfig("Social/twitterapi/consumer_key");
$consumer_secret = Mage::getStoreConfig("Social/twitterapi/consumer_secret");
$oauth_access_token = Mage::getStoreConfig("Social/twitterapi/access_token");
$oauth_access_token_secret = Mage::getStoreConfig("Social/twitterapi/access_token_secret");

Якщо сценарій не містить засобів, за допомогою яких можна змінити вміст у Magento install через щось на зразок аргументів, надісланих до скрипту, то ні, я не бачу, що це ризик для безпеки - в тому числі Mage.phpє лише саме те, що index.php(також у веб-корінцях) теж.

Щоб додати трохи додаткової параної, ви можете змінити оператор вимагати, щоб вказати app/Mage.phpфайл, використовуючи абсолютний шлях до файлової системи, тому шлях до PHP включати не використовується:

require __DIR__ . '/app/Mage.php';

Або у версіях PHP нижче 5.3:

require dirname(__FILE__) . '/app/Mage.php';

Дуже теоретичний вектор атаки в тому , що зловмисник може яким - то чином маніпулювати PHP включають шлях і , таким чином , може включати в себе arbitraty app/Mage.phpфайли.

Якщо ви єдиний, хто отримає доступ до цього файлу, чому б не обмежити if($_SERVER['REMOTE_ADDR']=='your.ip.address.here')його IP ? Я бачив багато розробників magento, які зберігають такі файли в корені Magento і роблять речі, пов’язані з адміністратором, без будь-якої аутентифікації. Наприклад, я зайшов до одного з веб-сайтів Magento моїх друзів і просто здогадався про файл, http://example.com/test.phpі це дало мені вихід Mail sent!lol. Розробники також пишуть чутливі речі, щоб змінити деякі таблиці баз даних в автономних сценаріях, оскільки вони хочуть робити це раз у раз, і не хочуть створювати модуль для цього.

Я б запропонував усім, хто створює такий тип самостійних файлів, який потрібен лише їм, просто обмежте його IP, і як тільки ваша робота буде завершена над цим файлом, просто поставте exit;зверху файл. Всього мої 2 копійки.

Creed Bratton, Називати цей тип коду завжди буде ризиковано. Оскільки ви телефонуєте Mage.php з twitter.php, вам потрібно put proper file permission for twitter.php. Або ще будь-який інший користувач може переписати ваш код з twitter.php.Other wise it does not create any issue.