Mailinglisten-Archive |
Thorsten Körner wrote:
> Hallo,
>
> Am Dienstag, 5. Juli 2005 11:59 schrieb Sebastian Mendel:
>>> ja das ist klar, aber wenn jemand die Include Seite weiss (was
>>> wohl nicht vorkommt), kann er den direkt aufrufen, nehm ich mal
>>> an.
>>
>> include-Dateien gehören auch in ein Verzeichnis außerhalb des
>> Webroots, da kann also überhaupt keiner von außen zugreifen, und
>> schon gar nicht direkt aufrufen
>>
>> wenn kein Verzeichnis außerhalb der Webroot möglich ist dann
>> gehört eine .htaccess-Datei in das Verzeichnis welche jeglichen
>> Zugriff unterbindet
>
> Zusätzlich kann man noch in allen 'legal' aufzurufenden Scripten
> eine Konstante definieren in der Art von:
> define('ZUGRIFF','erlaubt');
>
> und in den zu includenden Dateien prüfen, ob die Konstante gesetzt
> ist:
>
> if(!defined('ZUGRIFF') || ZUGRIFF != 'erlaubt'){
> die('hier kommt die Nachricht an böse Angreifer');
> }else{
> //hier kommt der Rest des Scripts hin.
> }
das deckt sich ja mit der Aussage von Stefan, das das Script dann nichts
ausgibt, wobei nichts ausgeben sogar noch besser ist als 'hier kommt die
Nachricht an böse Angreifer', denn so weiß der Angreifer zumindest schon
mal das er auf dem richtigen Weg ist ...
--
Sebastian Mendel
www.sebastianmendel.de
www.sf.net/projects/phpdatetime | www.sf.net/projects/phptimesheet
php::bar PHP Wiki - Listenarchive