В этой статье разберёмся с безопасностью при создании шаблона сайта. При сборке страницы сайта Joomla использует файл index.php шаблона, выбранного в качестве шаблона по умолчанию для запрашиваемой старицы сайта. Этот файл должен запускаться только при условии, что он вызывается в среде формирования страницы самой Joomla, иначе это может привести к непредсказуемым последствиям и стать угрозой в безопасности сайта.
Первая строка индексного файла index.php шаблона сайта <?php defined('_JEXEC') or die('Access denied'); ?> в Joomla 3
Итак, первой строчкой индексного файла index.php шаблона сайта должна быть строка:
<?php defined('_JEXEC') or die('Access denied'); ?>Почему первой строчкой индексного файла index.php шаблона сайта должна быть строка <?php defined('_JEXEC') or die('Access denied'); ?>
Допустим, мы не будем писать эту строку в index.php шаблона сайта. К чему это приведёт? Что-то сломается?
Если этой сроки не будет, сайт продолжить работать и всё будет открываться как нужно, например главная страница сайта будет открываться по адресу:
https://site.ru/index.phpТогда в чём смысл этой строки? Смысл в том, что этот файл может быть открыт не только внутри Joomla, используя роутер (маршрутизатор) Joomla, но и напрямую из папки шаблона, например так:
https://site.ru/templates/template_name/index.phpВедь ни для кого не секрет того, как хранятся шаблоны сайта в Joomla. И при прямом доступе к этому файлу, без использования механизмов защиты Joomla, можно попробовать подать на вход этому файлу информацию, которая послужит ключём для взлома сайта. Поэтому, для того чтобы закрыть эту возможность, в Joomla встроен механизм проверки того, что файл шаблона index.php открывается из среды Joomla, а не напрямую. И, если файл открывается в среде Joomla, то переменной (на самом деле, константе) _JEXEC присваивается значение 1. Если же файл index.php открывается напрямую в обход Joomla, то константа _JEXEC оказывается не определена.
Именно это и происходит в первой строке:
- если
_JEXEC=1, то код в файле index.php выполнятся дальше; - если
_JEXECне определена (в процессе работы Joomla), то срабатывает условиеdieи работа скрипта прерывается (взлом не возможен).
Ещё раз приведу это условие:
<?php defined('_JEXEC') or die('Access denied'); ?>Выводы
Таким образом, начиная код с проверки того, определена ли константа _JEXEC, можно использовать встроенную в Joomla систему защиты от возможных угроз, которые могут возникнуть при запуске скриптов напрямую, минуя логику проверок Joomla.
Заберите ссылку на статью к себе, чтобы потом легко её найти!
Раз уж досюда дочитали, то может может есть желание рассказать об этом месте своим друзьям, знакомым и просто мимо проходящим?
Не надо себя сдерживать! ;)
