Forenkle konfig uten mysql

[Jan W.]

Har et egenprodusert CMS som brukes til kunder. Denne CMSen kjører fullstendig uten database, med andre ord -kun filbasert.
Systemet fungerer utmerket og det nærmer seg en ny versjonsrelease, med mange nye funksjoner.

Fortsatt etter 2,5 års drift blir alle konfigurasjoner foretatt i en php-fil, dette har noen kunder ønsket å få inn i kontrollpanelet. Ser for meg at dette kan gå på sikkerheten løs. Uansett må gamle verdier leses ved "lasting" av fil, før mulighet for endring.

Aktuelle konfigs er epostadresse, navn på nettsted, slagord, brukernavn og passord.

Noen gode tips og råd?

 

[kek91]

Jeg har ikke testet, eller tenkt noe særlig over det, men det var den første løsningen som kom til meg.

Kan det være aktuelt å opprette et array hvor all dataen står?
f.eks.

$config = array(
    'email' => 'post@domene.com',
    'website' => 'navn på webside',
    'slogan' => 'slagord',
    'username' => 'brukernavn',
    'password' => 'passord'
);

Også henter du ut informasjonen på kontrollpanelet via arrayet i input bokser?

Kanskje en idè kan være at når brukeren gjør endringer så lager du en automatisk kopi av konfig filen FØR den blir oppdatert? Så kan du lage en liten "hurtig-backup" knapp dersom en skulle "ødelegge" alt

 

[Coulix]

Har et egenprodusert CMS som brukes til kunder. Denne CMSen kjører fullstendig uten database, med andre ord -kun filbasert.
Systemet fungerer utmerket og det nærmer seg en ny versjonsrelease, med mange nye funksjoner.

Fortsatt etter 2,5 års drift blir alle konfigurasjoner foretatt i en php-fil, dette har noen kunder ønsket å få inn i kontrollpanelet. Ser for meg at dette kan gå på sikkerheten løs. Uansett må gamle verdier leses ved "lasting" av fil, før mulighet for endring.

Aktuelle konfigs er epostadresse, navn på nettsted, slagord, brukernavn og passord.

Noen gode tips og råd?

Du trenger bare passe på at brukerne ikke kan manipulere hvilken fil som blir åpnet, og hvilke data som blir hentet. Samt selfølgelig hvilken fil data blir lagret til. Dette løser du ved å holde kilde- og destinasjonsfiler skjult i php skriptet og kjøre en sjekk på at bruker-id som sendes til handlingsskriptet er den ekte / tilhører innlogget bruker.

Jeg ville ha lastet filen på backend, og servert data i et webskjema til brukeren, og lagt inn kontrollfiltre ved lagring igjen (sjekke ulovlige tegn/verdier osv).

 

[Jan W.]

Hei, da var ferien over

Takker for svar. Problemet er løst.

Nå viser det seg at såpass mange hoster kjører "open_basedir on" at det praktisk lar seg vanskelig gjøre, i og med at "auto_file_prepend/append" er en av grunnesteinene i prosjektet.

Har en tilsvarende løsning som kjører med sql-backend, denne fungerer greit nok, må bare omstrukturere admin en smule.

Regner med at denne database-frie løsningen kan bli tilgjengelig for nedlasting i løpet av høsten dersom dette kan være ønskelig.