phpbar.de - Mailinglisten-Archive

Mailinglisten-Archive

[php] include von fremder Domain

Johannes Schlueter schlueter at phpbar.de
Mit Mar 16 13:08:09 CET 2005

Vorherige Nachricht: [php] mehrere strings ersetzen
Nächste Nachricht: [php] include von fremder Domain
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject) ] [ Autor ]

On Wednesday 16 March 2005 12:59, Lutz Zetzsche wrote:
> Oder die Datei mit einer Dateiendung versehen, die nicht dem PHP-Parser
> zugeordnet ist. Dann klappt es auch bei HTTP mit include() (oder
> fopen()). Das ist allerdings ein Sicherheitsloch erster Güte, weil dann
> über HTTP theoretisch und potentiell jeder das Skript im Klartext
> herunterladen kann. 

Und wehe irgendjemand manipuliert den DNS-Eintrag, dann kann da beliebiger 
böser Code eingeschleust werden - auch sehr nett :-)

Zudem ist es fraglich, dass man für die Kernbibliothek einen extra Request 
starten will, da sollten eher die Rechte Am Server entsprechend eingestellt 
werden. Wer das nicht kann sollte imho aber keinen dedizierten Server 
betreiben, da er sich dann wohl auch nicht mit anderen Aspekten der 
Systemadministration auskennt. Gehackte, Wurmverseuchte Server gibt es 
bereits mehr als genug ...

johannes

Vorherige Nachricht: [php] mehrere strings ersetzen
Nächste Nachricht: [php] include von fremder Domain
Nachrichten sortiert nach: [ Datum ] [ Thema ] [ Betreff (Subject)] [ Autor ]

php::bar PHP Wiki - Listenarchive