| Subcribe via RSS

Proteger nuestros archivos .INI en Zend Framework

Agosto 10th, 2008 Publicado en PHP, Zend Framework


Los archivos .INI sirven para almacenar parámetros de configuración y por su sencillez es muy utilizado por la mayoría de aplicaciones.

Zend Framework nos ofrece un componente para poder leerlos, llamado Zend_Config_Ini el cual esta apoyado en el parse_ini_file() de PHP.

Al ser archivos planos es fácil de leerlos, incluso a través del navegador web y eso lo hace muy vulnerable, ya que si no esta correctamente protegido, cualquiera puede leer nuestros parámetros de configuración y acceder a contraseñas, rutas de archivos, entre otras cosas.

Nuestros archivos .INI siempre deberían estar ubicados por encima del la raíz web de nuestro servidor.

Supongamos que tenemos la siguiente distribución de carpetas de nuestra aplicación

PLAIN TEXT
CODE:
  1. application/
  2.     config/
  3.          database.ini
  4.     controllers/
  5.     models/
  6.     views/
  7.         scripts/
  8.         helpers/
  9.         filters/
  10.    web/
  11.     .htaccess
  12.     index.php

Todo lo contenido dentro de application debería estar estar fuera del acceso vía web, eso sería lo ideal, pero no siempre es así, ya que puede ocurrir que nos encontremos en un entorno donde no podemos contar con dichas facilidades, entonces debemos tomar las precauciones del caso.

Supongamos que estamos trabajando en un subdominio, o en una carpeta por debajo del árbol de la web, la distribución de carpetas de nuestra aplicación sería algo parecido a esto.

PLAIN TEXT
PHP:
  1. web/my_aplication/
  2.             application/
  3.                 config/
  4.                     database.ini
  5.                 controllers/
  6.                 models/
  7.                 views/
  8.                     scripts/
  9.                     helpers/
  10.                     filters/
  11.                html/
  12.                 index.php
  13.             .htaccess

Quedaríamos expuestos y solo protegidos por las reglas declaradas dentro del .htaccess, ¿entonces que más podemos hacer?.

La solución es bien sencilla, consiste en convertir a nuestros archivos .ini en archivos .php y poner toda la información dentro de comentarios, de esa manera no podrán ser visualizados.

database.ini.php

PLAIN TEXT
PHP:
  1. /*
  2. ;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
  3. ;; Configuration Database  ;;
  4. ;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
  6. ; Production site configuration data
  7. [production]
  8. webhost                        = www.codigolinea.com
  9. database.adapter            = pdo_mysql
  10. database.params.host        = localhost
  11. database.params.username    = dbuser
  12. database.params.password    = secret
  13. database.params.dbname      = myDB
  14. database.params.profiler    = false
  15. */

Y lo usamos como cualquier otro archivo .INI

PLAIN TEXT
PHP:
  1. require_once 'Zend/Config/Ini.php';
  2.  
  3. $config = new Zend_Config_Ini('database.ini.php', 'production');
  4.  
  5. echo $config->database->params->host;   // prints "localhost"
  6. echo $config->database->params->dbname; // prints "myDB"

Así de sencillo, yo siempre lo uso de esa manera, y me quito la preocupación de que si algo falla, alguien pueda acceder a dicho fichero y leerlo.

Hay muchas otras soluciones a nivel de Servidor ¿pero si no tenemos acceso?, o usando la configuración a través de arrays(), pero la idea es no perder la simplicidad de los archivos .INI.

Tags: , , , ,

Posts Relacionados:

Esta entrada fue publicada el Domingo, Agosto 10th, 2008 at 5:46 PM y se presenta bajo PHP, Zend Framework. Puedes seguir cualquier respuesta a esta entrada a través de la RSS 2.0 feed. Pude salir de una respuesta, or trackback desde su propio sitio.

Deja un Comentario