.htaccessでPHPを動かすサーバーは危険?
- PHPの動作設定について不安がある
- .htaccessの記述が削除されるとセキュリティ上の問題が発生する可能性がある
- ベテランの方の意見を聞きたい
- ベストアンサー
.htaccess でPHPを動かすサーバーって、危険じゃないですか?
PHP職歴1年半の者です。最近レンタルサーバーを、ファーストサーバーからCPI(専用サーバー)に乗り換えることになりとまどっている者です。 CPIは料金も高いぶん自由度も高いので全体的には気に入っているのですが一部不安な所があります。 .htaccess に AddHandler x-httpd-php524 .php と書かなければPHPが動作しないのです。もちろん .htaccess は公開領域に配置するため ~.html やら ~.php と混在するわけで、うっかり削除してしまわないかと不安です。 もし上記の記述が消えてしまったならPHPが動かなくなるばかりか 「プログラム丸見え状態」 になりセキュリティ上かなりまずいです。 業者の方に質問しても 「気をつけて」 の一点張りでアイデアがありません(全サーバー同じ環境だそうです) このようなサーバーでサイトを運用する場合、ベテランの方ならどうするのか…? ご意見よろしくお願いいたします。 参考) http://www.cpi.ad.jp/
- ikataro
- お礼率79% (298/375)
- PHP
- 回答数3
- ありがとう数2
- みんなの回答 (3)
- 専門家の回答
質問者が選んだベストアンサー
インクルードパスに本体をおいて公開パスには呼び出し用のプログラムを おいてみるとかは? もちろんそのパス自体も.htaccessで管理することになりそうなので そこの設定は厳密にしなくてはいけませんが・・・ 管理の手間は増えるのでなんとも言えませんが、公開パスの.htaccess にトラブルがあっても見えて困るようなことはありません。 特にパスワード関連のデータ取扱などではどうしてもその手の処理が あったほうがいいですね。
その他の回答 (2)
- gon987
- ベストアンサー率16% (53/313)
#1の人の言うような事と後はファイルそのものを誤って削除しないように たとえばFFFTPを使っているなら 「表示」→「.で始まるファイルの表示」をはずしておけばいい。 それと専用サーバ同士(root権限なしもありも)比べた場合ファーストサーバーの方がいいと思うけどね。 VPSクラスなんて値段破格だと思うし
補足
ありがとうございます。 FFFTPの 「.で始まるファイルの表示」は知っているのですが、 サーバー屋提供の「コントロールパネル」ページでベーシック認証の設定・削除とかをいじると警告も出ずに.htaccesが強制削除されたりするわけで… 共同作業になったりしたら誰かがうっかり… 怖すぎです。
- _chihiro_
- ベストアンサー率63% (26/41)
サーバー屋(CPI)のHPはパラパラと見ましたが、専用サーバーにはroot権限は貰えないのでしょうか? (貰えるプランと貰えないプランがあるみたいですが、、、) もしroot権限があるのであれば、httpd.confを書き換えましょう。 root権限がなければ、サーバー屋に直接httpd.confを書き換えてもらえないか尋ねてみるか、.htaccessを言われた通り設置するしかないです。 .htaccessは削除しないようにするしか方法はありません。 例えば、プログラムを書いたxx.phpファイルを誤って削除してしまった場合、プログラムが正しく動かないのと同様、稼動サーバー上にあるファイルは慎重に扱います。
補足
ありがとうございます。 契約を再確認しましたがルート権限はないようです。 ↓ http://www.cpi.ad.jp/service/server/plan/managed/pro40.html プログラムが止まるのはいいとして丸見えだけは阻止しないとやばいですよね…
関連するQ&A
- htaccessでphpとSSIを同時に動かす?
http://www.dspt.net/tools/emoji/と同じように絵文字変換できるようにしたのですが、htaccessにAddHandler server-parsed htmlをすることになるので、今まで使っていたアクセス解析の「うごくひと2」が使えないです。 SSIとPHPをhtaccessで同時に動かすことは可能ですか? http://sb.xrea.com/showthread.php?t=14639で質問しているかたとほぼ同じ状況ですが、私はこの方法だとエラーになってしまいます。 ちなみにxhtmlではなくhtmlで作っています。 サーバーはハッスルです。 うごくひとを動かしていたときはAddHandler x-httpd-php .htmlをhtaccessに記述すると動作しました。 htaccessにAddHandler server-parsed htmlと AddHandler x-httpd-php .htmlをhtaccessに記述すると、絵文字が表示されるけどうごくひとは文字化けしてしまいます。 絵文字もアクセス解析も表示させるにはなにが必要でしょうか?
- 締切済み
- PHP
- .htaccessの中身が php5 CGI版で動かない
拡張子htmlファイルをphpファイルと認識させる為に、 .htaccessで AddType application/x-httpd-php .html AddHandler x-httpd-php .html と書いて対応していました。 今まではサーバーのphpのバージョンがPHP4(DSO版)だったのですが、昨日サーバーのバージョンがPHP5(CGI版)になってから、上記のような.htaccessが機能しなくなってしまいました。 order deny,allow deny from all ↑ これはちゃんと動くので、.htaccess自体が拒否されてるみたいなことはないと思います。 AddType application/x-httpd-php .html AddHandler x-httpd-php .html ↑ このプログラムがPHP5 CGI版にて意図した動作とならないのです。 何か分かる方いらっしゃいましたら、宜しくお願い致します。
- ベストアンサー
- PHP
- レンタルサーバでPHPの実装ができません
初めて質問させていただきます。 今回質問させて頂きたい内容ですが 先日借りた「CPI」というレンタルサーバでPHPプログラムを動作させたく ルートフォルダ直下にhtmlフォルダを作成し、そこに「.htaccess」を設置しました。 そして、同フォルダ内にテスト用に「test.php」を設置したのですが、そのURLにアクセスしても 「このファイルを開くか、または保存しますか?」 と開く、または保存しようとするだけで、プログラムに記述した内容が表示されません。 とても狭い範囲の質問で申し訳ありませんが、なにとぞお応えしていただけます様よろしくお願いいたします。 -------------フォルダ階層----------- /(ルート)---+ +--html---+ +-- .htaccess +-- test.php ----------------------------------- ----------.htaccessの内容----------- AddHandler x-httpd-php4311 .php ----------------------------------- 私のPCのphpバージョン : 4.3.5.5 (調度よいバージョンがダウンロードできませんでした) ----------test.phpの内容------------ <?php print"テスト"; ?> -----------------------------------
- ベストアンサー
- PHP
- ハッスルサーバー PHP4 PHP5
.htaccessというファイルを作成し AddHandler x-httpd-php5 .php という記述を追加することにより、PHP5の利用が可能にる。 というメールをハッスルサーバーから頂いて、早速そのように設定したところ、拡張子phpのページをクリックすると、phpファイルをダウンローロしようとする画面が出てくるようになりました。 .htaccessファイルを削除しても、phpファイルをダウンローロしようとする画面は消えません。 どのように設定すれば、以前のように普通にPHPページを閲覧できるようにできますか? よろしくお願いします。
- ベストアンサー
- PHP
- .htaccessの中身が 動かない
拡張子htmlファイルをphpファイルと認識させる為に、 .htaccessで AddType application/x-httpd-php .html AddHandler x-httpd-php .html と書いて対応していました。 ファストサーバーのキガント2です。 HTMLが入ってるフォルダと同じ場所に.htaccessを入れて見ましたが、 php5 DSO版版もCGI版もだめでした。 何か分かる方いらっしゃいましたら、宜しくお願い致します。
- 締切済み
- PHP
- 携帯サイト作成する場合の.htaccess処理で困っています。
携帯サイト(XHTML+CSS)の作成方法を勉強している最中で.htaccessファイルを作成していたのですがうまく動かない部分がありますのでお手数ですが対応方法をお教え頂けますでしょうか。 .htaccessでapplication/xhtml+xmlの情報を送り、さらにPHPファイルをhtmlの拡張子で動作できればと思い、いろいろなサイトの情報を集めて下記内容を作成しアップロードしたところ、Content-Typeがapplication/xhtml+xmlにならずにtext/htmlのままPHPプログラムが動作しました。(AddTypeを無視しているようです) [.htaccess] AddHandler x-httpd-php442 .php .html AddType "application/xhtml+xml; charset=Shift_JIS" .html AddHandlerの".html"を消すと今度はContent-Typeがapplication/xhtml+xmlになりますがPHPが動作しなくなります。 AddHandler x-httpd-php442 .php .htmlの1行を.htaccessに記述し、 HTMLファイル内に<?=header("Content-type: application/xhtml+xml");?>を入力すれば表示されるのですが、できれば.htaccess一つで済めばと思います、、、。 サーバーはKDDIウェブコミュニケーションズ(CPI)のX10プランを使用しています。このサーバーは注意事項として"弊社サーバーでは .htaccessファイルにてphp_valueおよびphp_flag はご利用いただけません"との文言がありました。(※php.iniの修正は可能のようです) 良い書き方があればお教え頂ければ幸いです。 何卒宜しくお願いいたします。
- ベストアンサー
- PHP
- @YMCサーバでのPHP利用について
phpで書いたメールフォームをアップしたのですが、「500 Internal Server Error」で動作しません。サーバのPHPのバージョンは5で、.htaccessの記述は下記の通りです。 AddHandler x-httpd-php5 .php 他のサーバだと動作しているのですが、カスタマーに問い合わせたところ、 「オースコンフィグとリミットしか使えない」という回答で、意味がよくわからなかったので詳しく聞いたのですが、カスタマーの方がよくわかっていないようで、有用な回答が得られませんでした。 何が原因なのかもわからないので、ご質問させていただきました。 おわかりになる方おられましたらご教授よろしくお願いいたします!
- 締切済み
- PHP
- htaccessのAddTypeが使えないサーバで.phpファイルを.htmlとして表示させる方法は?
利用サーバではhtaccessのAddTypeが使えない機能制限があるそうで、サーバで.phpファイルを.htmlとして表示させることが、以下のhtaccessへの記述ではできません。 AddType application/x-httpd-php .php .html どこかに書いてあったので以下も試しましたがダメでした。 <FilesMatch "html$"> ForceType application/x-httpd-php </FilesMatch> どうにかして代替方法が欲しい状態でが何か良い方法がないでしょうか。 どうぞ宜しくお願い致します。
- 締切済み
- PHP
- .phpを.htmlで使用する際のhtaccess
html内でphpを使用する際のhtaccess記述について。 .phpを.htmlで使用します。 ネットで探してたくさん出てきましたが AddType php5.x-script .html AddType application/x-httpd-php .html AddHandler myphp-script .php .html TypeをHandlerに変えたり拡張子の.(ドット)を抜いたりして試していますがうまくいきません。 独自ドメインをhttp://example.comとすると、 http://example.com/にアクセス:ファイルをダウンロードしますか?と表示されます。 http://example.com/index.phpにアクセス:正常に表示されます。 http://example.com/index.htmlにアクセス:何も表示されません。(ソースをみると、phpの部分がそのまま表示されています) 動作確認はIE。index.htmlとindex.phpは内容は同じです。 サポートは休業日で、メールを送っても返信はありません。 現在サーバーの移転をしていて、引っ越し前のサーバーの期限が30日までなのでかなり焦っています...。(別の質問サイトでも同じ質問をしています...。) 引っ越し前のサーバーはロリポップですが、 AddHandler php5.3-script .htmlで正常に表示されています。 わかる方がいらっしゃいましたら、回答お願いします。 そのほか ・パーミッションはindex.html、index.php、.htaccess:604(htmlはサーバー推奨の604) ・文字コードUTF-8で統一、改行コードCRLF
- 締切済み
- その他([技術者向] コンピューター)
補足
なるほど! 非公開領域である cgi-bin にプログラムをおいて include_once() とかで呼び出せばいい。PHPが止まっても include_once() の1文が見えるだけ。 そういうことですね。 他社サーバーでもPHPが事故で停止… そんなこともごくまれにあるかもしれない、そう考えると 「プログラムは cgi-bin におくほかない!!」 という発想になりますね。 しかしどうなんでしょう、プロの方はプログラムを全部 cgi-bin に入れてるのでしょうか。そのへんの常識も知りたいものです。 ありがとうございました。