Mailinglisten-Archive |
On 23 May 2001, at 14:57, Stefan Kunkel wrote: > Hi > ich möchte ungerne in allen geplanten PHP-Scripten > das Passwort und Co für meine MYSQL-DB drinstehen lassen. > Meine idee ist nun, login und einiges mehr in include-Dateien zu > setzen und diese Dateien dann in einem anderen Verzeichnis > unterzubringen (apache) Reicht es dann wenn ich in dem Verzeichnis mit > .htaccess die IP's absichere oder was passiert genau, wenn andere User > mit Tools meine Verzeichnisse grabben ??? Hi! Alle Sicherheitsgurus predigen immer, inc´s usw außerhalb der durch den Webserver zugänglichen Verzeichnishierachie unterzubringen. Zu recht. Sollte das aus irgendwelchen Gründen nicht gehen (Rechte?), empfiehlt sich für das inc-Verzeichnis ein "deny from all" in der .htaccess, bzw. access.conf. PHP ist es egal, wo die inc-Dateien liegen, es muß nur wissen wo => Pfad in php.ini eintragen wäre gut. Der Surfer muß aber nicht Zugriff auf die Verzeichnisse haben, wo die incs drinliegen. Nur der Webserver-User (im Apache(Normal)fall "wwwrun") muß Leserechte haben (auf OS-Ebene), weil das php- Modul mit seinen Rechten läuft. Haben andere User ftp-Zugang zu diesen Verzeichnissen, is natürlich Essig.... hth Roland
php::bar PHP Wiki - Listenarchive