Bezpečnostní varování

Je NESMÍRNĚ důležité, aby soubor config.neon a vůbec celý adresář app, log apod. NEBYL dostupný z webového prohlížeče. Pokud neochráníte tyto adresáře před přímým přístupem z internetu, kdokoliv bude moci vidět vaše hesla a další citlivé informace.

Jak zjistíte, že je soubor ochráněn? Jednoduše se jej pokuste otevřít v prohlížeči. Pokud váš web sídlí na adrese http://example.com/ a zde máte umístěn adresář app se souborem config.neon, pokuste se otevřít URL http://example.com/app/config.neon. Prohlížeč by měl oznámit, že přístup je zakázán. Jestliže místo toho obsah konfiguračního souboru zobrazí, máte na webu vážnou bezpečností díru a musíte ji zacelit.

Ochránit kritické soubory před přístupem z webu je vaše zodpovědnost. Jak na to?

Soubor .htaccess

Textový soubor .htaccess slouží k tomu, aby autor webu mohl upravit některé vlastnosti hostingu. Například zakázat přístup k určitým souborům nebo adresářům. Funguje na serverech Apache.

Ujistěte se, že v adresářích app, log apod. máte soubor .htaccess s tímto obsahem:

Order Allow,Deny
Deny from all

Rozhraní hostingu

Některé hostingy poskytují funkci zamezení přístupu k adresářům ve svém webovém rozhraní. Zakažte přístup k celému adresáři app, log apod..

Adresářová struktura

Pokud vaše aplikace používá adresářovou strukturu, kde nejsou složky app, log apod. z webového prohlížeče dostupné, není třeba nic víc nastavovat.