Mailinglisten-Archive |
Hallo,
Am Dienstag, 5. Juli 2005 11:59 schrieb Sebastian Mendel:
> >
> > ja das ist klar, aber wenn jemand die Include Seite weiss (was
> > wohl nicht vorkommt), kann er den direkt aufrufen, nehm ich mal
> > an.
>
> include-Dateien gehören auch in ein Verzeichnis außerhalb des
> Webroots, da kann also überhaupt keiner von außen zugreifen, und
> schon gar nicht direkt aufrufen
>
> wenn kein Verzeichnis außerhalb der Webroot möglich ist dann
> gehört eine .htaccess-Datei in das Verzeichnis welche jeglichen
> Zugriff unterbindet
Zusätzlich kann man noch in allen 'legal' aufzurufenden Scripten
eine Konstante definieren in der Art von:
define('ZUGRIFF','erlaubt');
und in den zu includenden Dateien prüfen, ob die Konstante gesetzt
ist:
if(!defined('ZUGRIFF') || ZUGRIFF != 'erlaubt'){
die('hier kommt die Nachricht an böse Angreifer');
}else{
//hier kommt der Rest des Scripts hin.
}
Viele Grüße
-thorsten
--
Thorsten Körner |e-Commerce-Consulting |Hosting
t.koerner at 123tk.de |http://www.123tk.de |Software-Entwicklung
Service-Providing |Qualtitäts-Sicherung |Beratung & Schulung
php::bar PHP Wiki - Listenarchive