PHP Forum

PHP Forum (http://www.selfphp.de/forum/index.php)
-   PHP für Fortgeschrittene und Experten (http://www.selfphp.de/forum/forumdisplay.php?f=13)
-   -   ini Dateien schützen (http://www.selfphp.de/forum/showthread.php?t=21258)

floorball92 03.04.2009 18:06:18
ini Dateien schützen
 
Servus,

ich arbeite derzeit an einer Software, die ich später mal veröffentlichen möchte.

Zur Konfiguration wären wohl INI-Files am besten, nur fällt mir außer über Apache Konfiguration kein Weg ein, dass ganze zu schützen, jedoch müssen die Files geschützt werden, da auch die Zugangsdaten der Datenbank darin gespeichert werden sollen, ich aber nicht vom Endnutzer erwarten kann, dass er genug Know-How hat, das ganze in Apache zu konfigurieren.

Gibt es einen PHP internen Weg?

Gruß Sebastian

Damir 03.04.2009 19:35:43
AW: ini Dateien schützen
 
Hi,

also der Apache ist hierfür wohl die beste Wahl - auch wenn es eine Möglichkeit in PHP geben würde, wäre diese nicht sicher genung denn wenn der Apache sich mal verschluckt etc. und den PHP-Interpreter nicht ausführt, dann würde man an die Ini-Datei kommen...

Also Apache nehmen!
Schmeiss einfach eine .htaccess Datei in dem Ordner wo die ini liegt mit folgendem Inhalt:

Code:
<FilesMatch "*.ini" >
deny from all
</FilesMatch>
Da muss der User auch nichts mehr installieren etc.

Damir

DokuLeseHemmung 03.04.2009 19:44:12
AW: ini Dateien schützen
 
Zitat:
Zur Konfiguration wären wohl INI-Files am besten,
Nicht unbedingt!
Es gibt bessere, oder zumindest gleichwertige, Methoden.

Aber selbst wenn du sie benutzen möchtest, kanst du sie ja auch als PHP Datei tarnen
Das ; leitet einen ini Kommentar ein.
Das PHP Gedöns stört den Iniparser also nicht, bricht aber einen direkten Aufruf ab.
config.php
Code:
; <?php die('das darfst du nicht aufrufen') ?>
[db]
server = localhost
user = blabla
pass = geheim
Wenn der Apache "unrund" läuft, bietet die .htaccess auch nicht unbedingt Schutz.

Die INI Datei sollte auserhalb des Documentroot liegen!
Das wäre wohl das sicherste gegen Zugriffe aus dem Web.

Damir 03.04.2009 19:46:46
AW: ini Dateien schützen
 
Zitat:
Zitat von DokuLeseHemmung (Beitrag 126507)
Das PHP Gedöns stört den Iniparser also nicht, bricht aber einen direkten Aufruf ab.
Naja und was machst Du wenn der Apache keine PHP-Dateien parst, aus welchen Gründen auch immer???? Habe ich schon oft gesehen und dann kann jeder auch in die Ini-Datei reinschauen.

Für solche Schutzmechanismen ist PHP und auch andere Programmiersprachen absolut ungeeignet! Nur der Apache ist hier die erste und wohl auch einzige richtige Wahl denn wenn der ausfällt ist eh die ganze Seite nicht mehr erreichbar.

auserhalb des Documentroot ist natürlich sehr gut aber ich denke, das er das nicht will denn seine Software soll ja einfach installiebar sein.

floorball92 03.04.2009 19:59:28
AW: ini Dateien schützen
 
ich denke der Weg von DokuLeseHemmung mit dem PHP Abbruch in der Datie sollte der sinnvollste für diesen Fall sein.

DokuLeseHemmung 03.04.2009 20:19:10
AW: ini Dateien schützen
 
Endlos viele Anwendungen legen die Konfiguration in php Dateien ab. So auch dieses Forum. Es gibt durchaus auch Fehlkonfigurationen, bei denen der Apache keine .htaccess, aber doch noch PHP abarbeitet.

Er hat jetzt 3 Möglichkeiten, soll sich also die schönste raussuchen. Oder sogar alle kombinieren.


Alle Zeitangaben in WEZ +2. Es ist jetzt 03:50:57 Uhr.

Powered by vBulletin® Version 3.8.3 (Deutsch)
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.