phpbar.de - Mailinglisten-Archive

Mailinglisten-Archive

[php] QUelltext =?iso-8859-1?Q?sch=FCtzen?=

Ulf Wendel ulf.wendel_(at)_redsys.de
Fri, 29 Sep 2000 10:29:18 +0200

Previous message: [php] QUelltext =?iso-8859-1?Q?sch=FCtzen?=
Next message: [php] QUelltext =?iso-8859-1?Q?sch=FCtzen?=
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

Alexander Wagner wrote:
> 
> > > wie kann man verhidnern das ein php quelltext der als z.b. inc eingebunden
> > > wurd enicht �bers Netz zu auszulesen ist?
> >
> > Passw�rter und Source stets au�erhalb der Document Root des Webservers
> > lagern, so da� sie nicht ausgesp�ht werden k�nnen.
> 
> Und generell die Endung .php/.php3/.php4 nicht vergessen. Dass
> verhindert, dass die Dateien ungeparsed rausgeschickt werden.

Wie kommst Du als Angreifer an eine Datei au�erhalb des Document Roots
ran? Wenn dann mit einem der Bugs aus der CGI Steinzeit. Damals kamen
Spielchen auf, die auch noch heute im PHP Manual bei den Security
Hinweisen beschrieben sind, die Zugriff auf beliebige Dateien boten. Bei
den Angriffsvarianten wurde ein beliebiges File angezeigt ohne
irgendwelche Parserumwege.

Was soll die Endung bringen?

Ulf

Previous message: [php] QUelltext =?iso-8859-1?Q?sch=FCtzen?=
Next message: [php] QUelltext =?iso-8859-1?Q?sch=FCtzen?=
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

php::bar PHP Wiki - Listenarchive