[php] PHPLIB Sicherheitsfrage

[Björn Schotte]

* Guenther Theilen wrote:
> 1) Wie genau sehen diese Sicherheitsprobleme aus?

Da der Apache normalerweise nicht dafür konfiguriert ist,
Dateien mit der Endung .inc (local.inc, session.inc etc.)
durch PHP zu nudeln, können diese Dateien über den Browser
aufgerufen werden, wenn man die genaue URL kennt und wenn
die Dateien unterhalb des document roots liegen.

> 2) Was mache ich, wenn ich nur Zugriff auf Document-Root habe, also
> keine Dateien daneben legen kann?

Sei /www/theilen/htdocs/ dein document root und sei
/www/theilen/htdocs/phplib/ dein include Verzeichnis
für die PHPLIB-Dateien, so legst du in /www/theilen/htdocs/phplib/
eine .htaccess-Datei, die den Zugriff auf diese Dateien
über den Browser verweigert.

PHP kann so natürlich weiterhin auf z.B. local.inc hinzugreifen,
da die Zugriffe ja über Filesystem-Ebene passieren. Du möchstest
aber die Zugriffe über Browserebene limitieren, was mit besagter
.htaccess bewerkstelligt wird.

-- 
PHP Schulungen und                        | International PHP Conference
Schulungsmaterial:                        |             05. - 07.11.2001
http://thinkphp.de/                       |      Astron Hotel, Frankfurt
http://rent-a-phpwizard.de/schulungen.php |  http://www.php-kongress.de/