Как правило, в папку с классами, совокупность которых образует движок сайта, добавляют файл .htaccess
с deny from all
. В деталях не заню, но это должно как минимум предотвратить доступ с папке из адресной строки браузера.
Вопрос: а что, доступ ко всем php-файлам, находящимся в корневой папке домена, можно получить из адресной строки?
Даже если это и так, то это было бы не страшно, если бы была возможность хранить все скрипты в папке library
, защищённой файлом .htaccess
с deny from all
.
Тогда в корне можно было бы оставить только index.php
и всякие мелочи типа favicon
. Но мы не можем хранить хранить капчу в library
, иначе
<img src="captcha.php" alt="" />
не отобразится. Мы не можем там хранить скрипт формы ввода, иначе
<form method="post" action="signin.php">
также не будет работать. Получается, что все эти файлы, которые не защищены deny from all
, находятся в опасности? А ведь в signin.php
мы работаем с личными данными пользователей (когда сверяем введённые данные с данными из базы данных).
В коде интернет-магазина есть фрагмент: