phpbar.de - Mailinglisten-Archive

Mailinglisten-Archive

[php] PHP-Script download verhindern

Frank Lachmann php_(at)_phpcenter.de
Sun, 30 Jun 2002 16:08:19 +0200

Previous message: Re[2]: [php] PHP-Script download verhindern
Next message: [php] PHP-Script download verhindern
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

On 30.06.2002 (15:59), Daniel Cramer wrote:

> Kann man den download v. php-scripten verhindern? wenn ja - wie ?

Mit einem korrekt konfigurierten Server normalerweise. Wenn ich dazu mal
http://www.dclp-faq.de/q-php-code.html zitieren darf:

(...)

3.24. Wie kann ein Besucher meiner Seite den PHP-Code im Browser sehen?

Wenn der Webserver ordnungsgemäß konfiguriert ist und er PHP
unterstützt, bekommt der Besucher der Seite den PHP-Code nicht zu sehen,
da er vom Webserver geparst wird und nur der generierte HTML-Code an den
Browser geschickt wird.

Folgende Szenarien sind jedoch denkbar, bei denen der Besucher den
PHP-Code trotzdem zu sehen bekommt:

- Auf dem Webserver ist kein PHP-Parser installiert. In diesem Fall
behandelt der Webserver den PHP-Code wie "normalen" HTML-Code und
schickt ihn unbearbeitet (ergo ungeparst) an den Browser.

- Aufgrund einer Fehlfunktion des Webserver ist der PHP-Parser
ausgefallen oder der Webserver benutzt ihn nicht mehr: In diesem Fall
sieht der User ebenfalls den ungeparsten Source-Code im Browserfenster,
da kein Parsing mehr stattfindet.

- Ein "böser Junge" verschafft sich per FTP Zugriff auf die Daten: Auch
hier hat der User die Möglichkeit, den Source-Code einzusehen, da der
PHP-Parser nur Dateien parst, die über den Webserver abgefragt werden.
Andere Schnittstellen wie zum Beispiel FTP berücksichtigt er nicht.

- Ein User verschafft sich Zugriff auf den Webserver mit Telnet oder
SSH: Auch hier kann er den PHP-Code ohne weiteres einsehen, indem er zum
Beispiel cat irgendwas.php eingibt und der Inhalt der Datei
irgendwas.php auf dem Bildschirm ausgegeben wird.

Siehe auch: Kann ich PHP-Dateien kompilieren und so vor Dritten
schützen? <http://www.dclp-faq.de/q-php-kompilieren.html>

In jedem Fall ist es sinnvoll, Code mit Datenbankpaßworten in einem
Verzeichnis abzulegen, das nicht durch eine URL erreichbar ist oder das
mit einer .htaccess-Datei gegen Zugriff gesichert ist. Dieser Code kann
dann mit Hilfe von include() oder require() eingebunden werden. Siehe
dazu auch den Abschnitt Wie kann ich mein Datenbankpaßwort gegen
Spionage sichern? <http://www.dclp-faq.de/q-db-passwort.html> dieser
FAQ.

(...)

-- 
 |  http://www.argh.de/ · icq #83271428  |  o.    o    o   o  o oo  |
 |  - the key to joy is disobedience. -  |  oo o  o   o    o    .o  |

Previous message: Re[2]: [php] PHP-Script download verhindern
Next message: [php] PHP-Script download verhindern
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

php::bar PHP Wiki - Listenarchive