*.inc sicherheitslücke?
tach zusammen,
mal ne frage sind *.inc dateien nicht potenzielle sicherheitslücken? wenn mal eine *.inc datei direkt aufruft kann es, je nach konfiguration, vorkommen das der server dem browser direkt die include datei anbietet. ich löse das immer so das ich hinter das *.inc noch ein *.php dranhänge, also dann *.inc.php, weil so werden die include datein auch geparsed, sie geben dann vielleicht einen fehler aus, aber sie werden denoch nicht direkt dem browser angeboten. somit ist der quellcode geschützt. man könnte die sache zwar noch mit einer .htaccess datei lösen: Code:
Addhandler server-parsed .inc |
Es ist völlig normal, dass zu inkludierende Dateien, für die der Server keinen Handler hat, direkt an den Browser geschickt werden. Denn für solche Dateien gilt: text/plain
Wo soll da jetzt ein Sicherheitsloch sein?? Wenn du geparste Dateien haben willst, nimm halt .php als Endung ;) |
hi,
jo hab ich ja, die endung *.php, aber es ist doch so das wenn nicht *.php als endung genommen wird, dann sendet der server doch direkt die datei zum browser... das ist doch ein sicherheitsloch für den quellcode den man geschrieben hat und nicht so ohne weiteres weitergeben will. |
Quellcode gehört ja auch nicht in "normale" Dateien, sondern nur in .php ;-)
|
jo das wollt ich ja damit verdeutlichen ;)
|
-
|
Hi @ll
auf htaccess Dateien sollten generell die Rechte 666 haben. aber wenn nicht ist es auch kein Problem. @|Coding Inc-Dateien werden direkt ausgegeben, da der Server diese Endung ned kennt. Ich kann nur empfehlen das ganze in PHP -Dateien umzubenennen. Du kannst das ganze noch etwas verfeinern, in dem du noch eine IF-Abfrage einbaust. das Heißt: wenn du die Datei direkt aufrufst, zeigt er einen Error, wenn du es von der Haupt-Datei aufrufst gibt du noch einen Parameter mit. Ich hoffe du weißt was ich meine |
Zitat:
if (sizeof(get_included_files()) == 0) { header('HTTP/1.0 404 Not Found'); } |
@Dago
Diese Lösung ist echt spitze Werde ich in mein Sichterheits konzept einbauen BIG THX für deinen Beitrag |
hi all,
jo thx für den tipp nev und das mit der if anweisung echt super dago |
Alle Zeitangaben in WEZ +2. Es ist jetzt 16:01:21 Uhr. |
Powered by vBulletin® Version 3.8.3 (Deutsch)
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.