phpbar.de - Mailinglisten-Archive

Mailinglisten-Archive

[php] QUelltext =?iso-8859-1?Q?sch=FCtzen?=

Ulf Wendel ulf.wendel_(at)_redsys.de
Fri, 29 Sep 2000 10:29:18 +0200

Previous message: [php] QUelltext =?iso-8859-1?Q?sch=FCtzen?=
Next message: [php] QUelltext =?iso-8859-1?Q?sch=FCtzen?=
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

Alexander Wagner wrote:
> 
> > > wie kann man verhidnern das ein php quelltext der als z.b. inc eingebunden
> > > wurd enicht übers Netz zu auszulesen ist?
> >
> > Passwörter und Source stets außerhalb der Document Root des Webservers
> > lagern, so daß sie nicht ausgespäht werden können.
> 
> Und generell die Endung .php/.php3/.php4 nicht vergessen. Dass
> verhindert, dass die Dateien ungeparsed rausgeschickt werden.

Wie kommst Du als Angreifer an eine Datei außerhalb des Document Roots
ran? Wenn dann mit einem der Bugs aus der CGI Steinzeit. Damals kamen
Spielchen auf, die auch noch heute im PHP Manual bei den Security
Hinweisen beschrieben sind, die Zugriff auf beliebige Dateien boten. Bei
den Angriffsvarianten wurde ein beliebiges File angezeigt ohne
irgendwelche Parserumwege.

Was soll die Endung bringen?

Ulf

Previous message: [php] QUelltext =?iso-8859-1?Q?sch=FCtzen?=
Next message: [php] QUelltext =?iso-8859-1?Q?sch=FCtzen?=
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

php::bar PHP Wiki - Listenarchive