require_once 'app / Mage.php'のセキュリティリスク; Magentoルートで

Magentoルートrequire_once 'app/Mage.php';にMage::getStoreConfigシステム変数へのアクセスを許可するファイルがあります。

これはセキュリティリスクを引き起こしますか？別のフォルダに配置する必要がありますか？

これは私のファイル/twitter.phpです：

<?php
require_once 'app/Mage.php';
Mage::app();
$consumer_key = Mage::getStoreConfig("Social/twitterapi/consumer_key");
$consumer_secret = Mage::getStoreConfig("Social/twitterapi/consumer_secret");
$oauth_access_token = Mage::getStoreConfig("Social/twitterapi/access_token");
$oauth_access_token_secret = Mage::getStoreConfig("Social/twitterapi/access_token_secret");

含む-スクリプトは、Magentoの中ALTERコンテンツへの引数のようなものを経由してインストールする手段が含まれていない限り、何も私はそれがセキュリティ上のリスクだと表示されていないスクリプトに送信されていないMage.phpだけで、正確に何であるindex.phpすぎない（また、ウェブルートで）。

少しパラノイアを追加するには、requireステートメントを変更しapp/Mage.phpて、絶対ファイルシステムパスを使用してファイルを指定し、PHPインクルードパスを使用しないようにします。

require __DIR__ . '/app/Mage.php';

または、5.3より前のPHPバージョンでは：

require dirname(__FILE__) . '/app/Mage.php';

非常に理論的な攻撃者は、このように何とかPHPインクルードパスを操作することができるとということで、攻撃ベクトルはarbitratyの含めることが可能であるapp/Mage.phpファイルを。

このファイルにアクセスするのがあなただけである場合、IP制限if($_SERVER['REMOTE_ADDR']=='your.ip.address.here')しないのはなぜですか？このような種類のファイルをMagentoルートに保持し、認証なしで管理関連のことを行う多くのmagento開発者を見てきました。たとえば、友人のMagentoのWebサイトにアクセスしてhttp://example.com/test.php、ファイルを推測しただけで、出力が得られました（Mail sent!笑）。また、開発者は、スタンドアロンスクリプト内の一部のデータベーステーブルを時々変更したいので、そのためのモジュールを作成したくないため、デリケートなものを作成します。

このようなタイプのスタンドアロンファイルを作成する場合は、IP制限のみを行う必要がexit;あります。そのファイルに対する作業が終了したら、ファイルの先頭に配置することをお勧めします。ちょうど私の2セント。

クリード・ブラットン、この種のコードを呼び出すことは常に危険です。あなたはtwitter.phpからMage.phpを呼び出しているので、する必要がありput proper file permission for twitter.phpます。または、他のユーザーがtwitter.phpのコードを書き換えることができます。Other wise it does not create any issue.