Ερώτηση security MS Access + PHP

[Sta]

Γεια σας,

Φτιάχνω ένα site σε php που μιλάει μέσω odbc με μία στοιχειώδη βάση σε Access. O server είναι ο MS 2003 και ο web server είναι ο IIS 5. Θέλω να προστατεύσω από τον (κακόβουλο) χρήστη να δει τα εξής: το αρχείο .mdb, ένα φάκελο uploads που κάνουν οι χρήστες upload καθώς και ένα αρχείο .txt που διαβάζει η php για να διαβάσει κάποιους κωδικούς.

Για να παίξει όμως αυτό το σύστημα αναγκάζομαι να δώσω Read+Write δικαιώματα στον χρήστη Internet Guest Account για το φάκελο που περιέχει τα τρία παραπάνω στοιχεία (το αρχείο .mdb, το φάκελο για uploads και το αρχείο .txt). Αν ο εν λόγω φάκελος είναι κάτω από το root folder του site, είναι φανερό ότι ο οποιοσδήποτε χρήστης μπορεί να δει τα περιεχόμενά του και να κάνει download ό,τι θέλει. Σκέφτομαι να μετακινήσω τον εν λόγω φάκελο πάνω από το wwwroot ώστε να μην μπορεί να δει τα περιεχόμενα του ο οποιοσδήποτε ακόμα και αν διατηρήσω τα προηγούμενα δικαιώματα.

Είναι αυτός ο ενδεδειγμένος τρόπος; Μπορεί να γίνει κάπως αλλιώς; Συγγνώμη αν σας κούρασα!

[mkst]

Η λύση που λες είναι η πιο ενδεδειγμένη

[kath]

Μ'ενδιαφερει κι εμενα αυτο..

Ομως δε καταλαβα , με ποιο τροπο θα μπορει το script σου να αποθηκευει τα uploads των χρηστων , εφοσον θα'ναι εκτος WWWroot ?

[Sta]

Όπως θα αποθήκευε και εντός WWWroot, μόνο που αλλάζει το relative path, γίνεται κάτι της μορφής: "../../protected/uploads". ΄Εχω όμως σημαντικές αμφιβολίες για το πόσο κομψό είναι κάτι τέτοιο.

[kath]

Δηλαδη , δε γινεται μεσω apache να προστατεψω τον φακελο(δηλαδη να μην εμφανιζεται ο καταλογος απο browsers) ; αν ναι πως το κανω;

[kath]

Ακυρο , το βρηκα. Χρειαστηκε μονο να επεξεργαστω το .htaccess..

[Sta]

Σωστά γίνεται και μέσω του web server, οπότε ίσως έτσι είναι καλύτερα.