Mailinglisten-Archive |
O.K., hiermit Entwarnung, das Programm hat keinen Bug. Es handelt sich vielmehr um ein allgemeines Sicherheitsproblem, das mir nicht bekannt war, und vielleicht einigen anderen auch nicht. Es ging um eine include-Datei, die die Zugangsdaten für eine Datenbankverbindung im Klartext enthält, das ganze in einer Klassendefinition als Variablen deklariert. Wird die Include-Datei nicht geparst - in meinem Fall wird nur *.php3 geparst, sie lautete auf *.php - kann sie remote included werden: include "http://bla.de/include.php"; sofern der Name bekannt ist, den ja viele nicht ändern werden. Danach kann eine neue Instanz der Klasse erzeugt werden, und die Variablen mit den Zugangsdaten stehen zur Verfügung. Ein echo $funktion->db->Password; zeigt dann selbiges an. Man sollte daher wohl darauf achten, include-files, deren Name bekannt oder typisch ist, oder einfach immer, auf eine Endung zu benennen, die vom Server geparst wird. Viele Grüße Andre Temme -- Andre Temme http://www.psyc-o-media.de Mail: mailto:andre.temme_(at)_psyc-o-media.de
php::bar PHP Wiki - Listenarchive