phpbar.de logo

Mailinglisten-Archive

[php] FW: Sicherheit von PHP

[php] FW: Sicherheit von PHP

Marcel Beerta php_(at)_phpcenter.de
Tue, 26 Feb 2002 18:44:16 +0100


> <?php
> include ("http://www.mein-nuke-server.de/config.php");
> echo $dbhost;   // host für nuke
> echo $dbuname;  // datenbank-username
> echo $dbpass;   // datenbank-passwort
> ?>
>
> Könnte er denn dann auch mit diesen Daten die Datenbank hacken und
> verändern? Das ginge dann doch auch mit allen möglichen anderen
öffentlich
> bekannten Systemen wie "phpmyadmin" etc., oder?

Nein, solange dieses file von php geparsed wird wird er es nicht können,
er wird eine leere Seite zurückgeliefert bekommen, mehr nicht.

Es wird beim includen von urls ein HTTP request gemacht, und dieser hat
zur folge, dass der Apache die config.php vor dem rausschicken nach PHP
Tags parsen wird. Da dort keine Ausgabe, etc. gemacht wird, gibt es auch
keine probleme.

Anders ist es z.B. bei "php-dateien", die nicht durch den Webserver
geparsed werden (manche benutzen trotz arger sicherheitsbedenken immer
noch ungeschützte .ini dateien) und so bald man den Pfad zu solchen
dateien kennt, ist es ein leichtes, an die entsprechenden Passwörter zu
kommen. Dann hilft nur noch ein schlauer Admin, der den Datenbankzugriff
von aussen einfach sperrt :)

Gruss,
Marcel "mazen" Beerta
http://www.mazenphp.de


php::bar PHP Wiki   -   Listenarchive