phpbar.de logo

Mailinglisten-Archive

[php] FW: Sicherheit von PHP

[php] FW: Sicherheit von PHP

Enrico Weigelt php_(at)_phpcenter.de
Wed, 27 Feb 2002 13:19:13 +0100


On Wed, Feb 27, 2002 at 10:51:04AM +0100, Jean Fiedler wrote:

leute, leute, ...

<snip>
> > Denn f?r den Server ist das ein normales PHP-Script, dass durch den Parser
> > geschickt wird. Dieser sieht zwar die Variabeln da drin, stellt aber mit
> > ihnen nix an da es IN DIESER Datei nirgens ein "echo" oder "print" gibt.
wie waers denn, das file einfach anders zu nennen ?
z.b config.inc ? oder foo.conf ? mach ich generell so.

man kann natuerlich den server auch so configurieren, dass er php-code nicht 
interpretiert, sondern roh sendet. bestimmt lesst sich das mit dem apachen 
auch fuer bestimmte directories oder files einstellen ...

im uebrigen habe ich auch schon ernsthaft darueber nachgedacht, 
auf dieser basis einen mehrstufiges enterprise server konzept aufzubauen, 
dass auf mehrere maschinen verteilt ist und dass statt SQL-links 
direkt per http von einem anderen server includes-files zieht, z.b.

include ( "http://dbserver/fetch/person?firstname=werner&lastname=braun" );

und der fertige person-record liegt dann in $result ...
denn wenn man eh einen application-server dahinter liegen, der z.b.
ein XML-interface hat, koennte man auch dort gleich solch ein include-
interface fuer verschiedenste scriptsprachen dranstoepseln ...
(kann man sich dann in J2EE+PHP-hybridumgebungen den XML-schritt sparen)

> Mein Senf:
> 
> Was ist aber wenn man mit Flashget oder nem anderen Downloadmanager Die
> Config.php runterl?d? 
dann ist der server so configuriert, dass er eben dieses file nicht
interpretiert ... 

<snip>
> Was ist aber wenn ein Hoster das nicht
> so sicher gemacht hat? Dann hat man doch ein Problem!
wenn du einen server gefunden hast, dann schick mir doch mal bitte
den url oder einen traffic-dump, dann kann ich mir ja mal angucken,
was da los ist ...
jedenfalls mit einem normalen GET request sollte das nicht gehen,
es sei, denn der server ist explizit so configuriert, dass er
bestimmte files roh ausspuckt. sollte dein ?flashget? mit einer
anderen methode requesten, wuerde mich das schon sehr interessieren,
weil das hiesse, dass man u.U. sogar den gesamten code stehen kann!

--
 Enrico Weigelt    ==   meTUX IT services 
 software development, IT service, internet security solutions
 www:     http://www.metux.de/        phone:     +49 36207 519931
 email:   contact_(at)_metux.de            cellphone: +49 174 7066481


php::bar PHP Wiki   -   Listenarchive