Я работаю над веб-сайтом, где мне нужно будет использовать команды перезаписи в .htaccess. Он не работает и, наконец, обнаружил проблему, в которой мне нужно будет установить
"AllowOverride All" в моем Apache httpd.conf
Мне интересно, есть ли какие-либо проблемы безопасности, о которых мне следует знать, когда я изменяю параметр с «AllowOverride None» на «AllowOverride All»?
Спасибо!
Хороший вопрос, и ответ - да, здесь есть риск, который вы можете оценить. Это позволит пользователю, имеющему право записи в определенный каталог, создать файл .htaccess и перезаписать различные настройки:
Итак, конкретный пример: вы настроили глобальный белый список для виртуального хоста, который пользователь может перезаписать в каталоге, в который они могут писать. Или они могут перезаписать ваши глобальные настройки, требуя авторизованного пользователя.
Подробнее о том, что можно сделать, см. http://httpd.apache.org/docs/1.3/mod/core.html#allowoverride
Если это не разделяемая система, риск довольно минимален, поскольку обычно весь экземпляр веб-сервера будет работать от имени одного и того же пользователя, поэтому на самом деле речь не идет о том, что произойдет, если кто-то взломает веб-сервер. Его можно использовать, если кто-то может найти дыру в имеющемся у вас скрипте и записать произвольный файл, скажем, у вас есть какой-то интерфейс для загрузки.