Mam w planie robić codzienną kopię bazy danych (a także parę innych rzeczy) na Cronie ale nurtuje mnie jedno pytanie.
Skrypt PHP uruchamiałby się załóżmy co 24h przez Crona i tworzył kopię i wysyłał ją na mój serwer FTP.
Ale co w przypadku gdy ktoś pozna adres do tego skryptu, będzie mógł sam, wielokrotnie tworzyć kopie i zapychać serwer FTP.
Co o tym sądzicie i jak powinienem do tego podejść?
Pełna wersja: Kopie Bezpieczeństwa a Cron
teoretycznie tak, ale jak dobrze ustawisz plik .htaccess to nie powinno być problemów, zdaje mi się że już samo "Redirect" blokuje dostęp do skryptu i przekierowuje ale tylko wywołania z poziomu przeglądarki
Umieść plik w strukturze katalogów nad public_html i po sprawie.
Zależy JAK wywołujesz skrypt. Jeśli CRON zrobi to z linii komend (CLI) to masz problem z głowy. A jeśli nie masz, to zrób jakąś formę uwierzytelniania w skrypcie. Na początek zwykłe hasło powinno wystarczyć.
Cytat(thek @ 30.03.2011, 08:50:25 ) 
A jeśli nie masz, to zrób jakąś formę uwierzytelniania w skrypcie. Na początek zwykłe hasło powinno wystarczyć.
Jeżeli CLI odpada to tylko .htaccess
Masz pare opcji (zakladajac ze cron wola skrypt normalnie po HTTP):
- jesli cron jest na konkretnym, stalym hoscie to mozesz sprawdzic IP z ktorego przyszedl request
- przekazujesz do skryptu jakis token (via GET najprosciej) i skrypt go sprawdza nim zacznie dzialac
- jesli cron jest na konkretnym, stalym hoscie to mozesz sprawdzic IP z ktorego przyszedl request
- przekazujesz do skryptu jakis token (via GET najprosciej) i skrypt go sprawdza nim zacznie dzialac
Fifi... Zależy czy ma dostęp do interpretera w CLI. Jeśli nie to pozostaje wget czy inne wynalzaki, a wtedy z htaccess nie przejdzie tak łatwo. Ogólnie to podamy mu propozycje już zsumowane:
a) Przeniesienie poza public i CLI
Jeśli nie można poza public to CLI i htaccess lub sprawdzenie czy mamy do czynienia z CLI
c) Jeśli jest cron, ale brak CLI to musi być zabezpieczony przed niepowołanym dostępem w choćby minimalnym stopniu. W pierwszej kolejności htaccess. A jeśli on nie może być użyty - inne formy autoryzacji (logowanie, tokeny)
a) Przeniesienie poza public i CLI
Jeśli nie można poza public to CLI i htaccess lub sprawdzenie czy mamy do czynienia z CLIc) Jeśli jest cron, ale brak CLI to musi być zabezpieczony przed niepowołanym dostępem w choćby minimalnym stopniu. W pierwszej kolejności htaccess. A jeśli on nie może być użyty - inne formy autoryzacji (logowanie, tokeny)
Tak właśnie myślałem nad .htaccess + token.
Dodatkowo jeszcze spróbuję sprawdzać IP requesta.
Dzięki wszystkim
Dodatkowo jeszcze spróbuję sprawdzać IP requesta.
Dzięki wszystkim
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.