phpinfo - Sinn oder Unsinn? (was: [php] move_uploaded_file und safe_mode)

[Christoph 'knurd' Jeschke]

Sebastian Mendel schrieb:

> notwendig?

Definitiv.

> nicht abzusichern, zu verschleiern!

Das gehört zur Sicherung dazu, wenn es nicht der einzige Schritt ist.
Sonst hast erzeugst Du nur Sicherheit durch Verschleierung - was quatsch
ist. Natürlich ersetzt das keine sinnvolle Restkonfiguration oder
defensive Programmierung.

> gerade automatische Angriffswerkzeuge wird das wenig interessieren, die
> probieren einfach alles durch.

Stimmt, da schrub ich Unfug. Zumindest hilft es gegen automatische
Information-Retrieval-Tool(z).

> Jede Hürde bedeutet auch das man es dem Kunden schwerer macht,
> Sicherheit kommt nie umsonst - sie kostet fast immer Komfort oder
> Bequemlichkeit - man sollte hier sehr überlegen wie sehr man seine
> Benutzer beschränken will

Ok, dann verrate mir doch einen Grund, warum ein User ständig eine volle
Seite mit Informationen über das installierte System (nicht nur über PHP
- über den Webserver und das installierte Betriebssystem wird ja auch
geplaudert) verfügbar haben sollte?

Wenn ein User Einstellungen wirklich benötigt (was ja u.U. auch schon
auf schlechten Stil schließen lassen kann), kann er diese bequem mit
ini_get oder ini_get_all (und noch ein paar anderen) verwertbar beziehen.

> mhm, eine Alternative, wenn es denn diese gibt!

Natürlich gibt es diese. Das lässt sich doch vorzüglich automagisieren -
wenn es überhaupt notwendig ist.

Außer zur Kontrolle der Konfiguration nach der Installation benutze ich
phpinfo gar nicht. Wenn ich in einem Skript eine Einstellung überprüfe,
mache ich das üblicherweise (und wenn es sich nicht irgendwie vermeiden
lässt) über ini_get).

Gruß,
Chris