Announcement

Collapse
No announcement yet.

Wie sicher sind Include-Dateien ?

Collapse
X
Collapse
  • Page of 1
  • Filter
  • Time
  • Show
Clear All
new posts
Previous template Next
  • #1

    Wie sicher sind Include-Dateien ?

    Hallo zusammen,
    ich habe meine Zugangsdaten für die Datenbank in einem gesonderten Order abgelegt und binde diese per include() in die Webseite ein.
    Die Dateien haben die Endung "dateiname.inc.php".
    Über "ordnername/dateiname.inc.php" greife ich darauf zu.
    Wie sicher sind diese Dateien und können sie unter Umständen von anderen Usern eingesehen werden ?
    Tags: None
  • #2
    Welche Rechte haben die Dateien? Liegen sie im Doc-Verzeichnis des Servers?
    Christian

    Comment

    • #3
      Diese Dateien liegen in einem Unteverzeichnis des Root-Ordners und haben als Rechte 0700. Eine Ablage außerhalb des Ordners ist bei dem Webspace-Anbieter nicht möglich.

      Comment

      • #4
        Hallo,

        wenn die Include-Dateien mit einer .php Endung versehen sind und sichergestellt ist das der Webserver .php aus diesem Verzeichnis immer über die PHP-Engine schickt, dann können Sie per HTTP über den Webserver nicht einfach ausgelesen werden. Es gibt noch einen einfachen Mechanismus Include-Dateien vor dem direkten Aufruf zu schützen.
        Dazu definiert das Main-Script eine Konstante, z.B.:
        PHP Code:
        define('_MyApplicationIsRunning''ON'); 
        In jedem Include-Script wird jetzt als allererstes geprüft ob diese Konstante definiert ist.
        PHP Code:
        <?php
        defined        ('_MyApplicationIsRunning') or die('direkter zugriff verwehrt');
        ...
        Alternativ läßt sich auch mit einer .htaccess im Include-Verzeichnis der Zugriff auf die Dateien via Webserver sperren.
        [highlight=htaccess]
        Order deny,allow

        <Files *.php >
        deny from all
        </Files>
        [/highlight]
        Solange es jetzt niemandem gelingt ein eigenes (bösartiges) Script auf deinen Webspace zu schleusen oder Zugriff per FTP zu erlangen, sollten die Include-Scripte nicht ausgelesen werden können.

        Gruß Falk
        Wenn du denkst du hast alle Bugs gefunden, dann ist das ein Bug in deiner Denksoftware.

        Quellcode ohne ein Mindestmaß an Formatierung sehe ich mir nicht an! Ich leiste keinen Privatsupport per Mail oder PN!

        Comment

        • #5
          Danke ...

          ... für die schnelle Antwort. :-)

          Comment

          Previous template Next
          Working...
          X