[php] Shared Server Security

[Michael Knop]

Hallo Egon!

Egon Schmid wrote:
>> Um auf meine mySQL Datenbank ueber PHP zugreifen zu koennen, muss ich
>> den mySQL Benutzernamen und das dazugehoerige Passwort im PHP Skript
>> angeben. Auf das Skript muss der Webserver Zugriff haben. Somit
>> muss das Skript auf world read permission gesetzt werden. Mit
>> diesen Zugriffsrechten kann aber jeder, der einen Telnetzugang auf
>> meiner Maschine hat, an mein Passwort kommen.

> Da ist noch nicht alles dokumentiert. Aber zumindestens findet man in
> http://www.php.net/manual/security.php3 einen ersten Anfang. Im alten
> Handbuch zu PHP/FI steht noch was zum Safe Mode drinn.

Danke. Die Sicherheitshinweise sind auch interessant. Leider beantworten sie
nicht meine Frage.

> Ich wuerde Dir empfehlen, den Usernamen und das Passwort in einer Datei
> ausserhalb des Document Root zu verstecken und mit PHP einfach
> includen oder requiren.

Das loest leider auch nicht mein Problem. PHP laeuft unter dem Benutzer des
Webservers 'nobody'. Jede Datei, auf die PHP Zugriff haben soll, muss auf
world read permission gesetzt werden. Und das ist unabhaengig davon, wo ich
diese Datei ablege ein Problem. Dateien ausserhalb des Document Root koennen
nicht ueber den Werbserver zugegriffen werden. Gut, so hat jetzt nicht mehr
die ganze Welt Zugriff auf meine mySQL Passwoerter. Es bleiben aber immer
noch die 200 User, die sich mit mir den Webserver teilen und auch Telnet
Zugriff haben. Die Telnet User haben auf Dateien mit world read permission
Zugriff, unabhaengig davon, ob sich die Datei im Document Root befindet,
oder nicht.

Schoene Gruesse

Micha