phpbar.de logo

Mailinglisten-Archive

Re: [php] Ausführung von PHP Scripten ab einem Verzeichnis für einen kompletten Verzeichnisbaum sperren

Re: [php] Ausführung von PHP Scripten ab einem Verzeichnis für einen kompletten Verzeichnisbaum sperren

Steffen Gebert php-list at stg-design.de
Mon Sep 15 17:52:04 CEST 2003


Am 15.09.2003 16:46:19, schrieb Andreas Müller 
<php at universalware.de>:

>Hallo Michael,
>
>> Du willst aber nicht wirklich PHP code als Text ausliefern, oder?
>
>doch klar! PHP Files sind da nicht erlaubt (user-uploads) also sollen 
sie
>auch _wirklich_ nicht funktionieren. D.h. nicht verwirren weil nicht
>aufrufbar sondern ruhig den Code zurückliefern. Ziel ist es in den User
>Uploads defintiv keine serverseitig "aktiven" Inhalte zu haben.
>
>Gruß,
>Andreas
>
>-- 

Dann würde ich dir eher dazu raten, das ganze über ein (zwei) PHP-
Scripte abzuwickeln:
Der Upload wird durch ein Script gesteuert, das die Datei irgendwo 
speichert.
Beim Download ließt ein Script über einen übergebenen Parameter 
('virtueller' Dateiname oder ID) die Datei aus und gibt sie direkt an den 
Browser.

So hast du keine sicherheitslücke (außer durch schlampige 
Programmierung der beiden Scripte) und du kannst die dateien da 
speichern, wo du willst (zB auch außerhalb des webroot, ansonsten in 
einem einzigen, verzeichnis, das durch .htaccess auf Deny From All 
eingestellt ist).

Mfg,
steffen



php::bar PHP Wiki   -   Listenarchive