Mailinglisten-Archive |
Hallo Sebastian,
Am Dienstag, 5. Juli 2005 12:25 schrieb Sebastian Mendel:
> Thorsten Körner wrote:
> > Zusätzlich kann man noch in allen 'legal' aufzurufenden
> > Scripten eine Konstante definieren in der Art von:
> > define('ZUGRIFF','erlaubt');
> >
> > und in den zu includenden Dateien prüfen, ob die Konstante
> > gesetzt ist:
> >
> > if(!defined('ZUGRIFF') || ZUGRIFF != 'erlaubt'){
> > die('hier kommt die Nachricht an böse Angreifer');
> > }else{
> > //hier kommt der Rest des Scripts hin.
> > }
>
> das deckt sich ja mit der Aussage von Stefan, das das Script dann
> nichts ausgibt, wobei nichts ausgeben sogar noch besser ist als
> 'hier kommt die Nachricht an böse Angreifer', denn so weiß der
> Angreifer zumindest schon mal das er auf dem richtigen Weg ist
> ...
ich schrieb ja zusätzlich zur .htaccess
Natürlich geben die Scripts nichts aus, aber ich deute Deinen
Hinweis mal so, dass der Angreifer merkt, dass es diese Datei gibt,
richtig?
statt die('...'); könnte man dann vielleicht besser eine Umleitung
auf eine Error-404 Seite einbauen und anschließend zur Sicherheit
noch exit();
Wenn man ganz paranoid ist, dann kann man vielleicht noch den HTTP
Status 404 per header() setzen.
Wie gesagt __zusätzlich__ zur .htaccess.
Viele Grüße
-thorsten
--
Thorsten Körner |e-Commerce-Consulting |Hosting
t.koerner at 123tk.de |http://www.123tk.de |Software-Entwicklung
Service-Providing |Qualtitäts-Sicherung |Beratung & Schulung
php::bar PHP Wiki - Listenarchive