AW: [php] Security-Problem

[Roland Spielhofer]

On 26 Sep 2001, at 14:55, Markus Sobczak wrote:

> Hi Andre,
> 
> > ich habe f=FCr jeden Benutzer ein eigenes Verzeichnis angelegt
> > 
> > Beispiel kunden/user1
> >          kunden/user2
> >          kunden/...
> > 
> > Diese Verzeichnisse liegen au=DFerhalb des WWW-Bereichs wodurch Sie
> > nicht direkt erreichbar sind.
> > 
> > Nun kann ich =FCber PHP ein login machen, wobei ich den entsprechenden
> > Namen des Users und somit auch dessen Verzeichnis erfahre. Der User
> > bekommt nun von mir nur die Dateien angezeigt welche er auch
> > Bearbeiten darf.
> 
> Da besteht wieder das Problem, da=DF andere User =FCber Scripte auf dies=
e
> Files zugreifen k=F6nnen. User A l=E4d ein File in sein Verzeichnis; Own=
er
> ist dann wwwrun User B hat FTP-Zugriff und =E4ndert das Script, so da=DF
> er an das Verzeichnis =FCber PHP rankommt.
> 
> Kann man irgendwie einstellen, da=DF alle neu erstellten Files
> automatisch dem Owner des Verzeichnisses geh=F6ren? Was aber auch nicht
> funktionieren d=FCrfte, da PHP ja die Files verschiebt. Also wieder
> wwwrun als Owner ;-(
> 
> Workaround w=E4hre =FCber einen Cronjob alle paar Stunden ein chown -R
> =FCber den Ordner laufen zu lassen, was aber auch entscheidene Nachteile
> hat ;-(

oder php st=F6=DFt nach jedem upload ein shell-skript an, da=DF das 
erledigt....