Zitat:
Zitat von kaepten
Angeblich existieren Programme, mit denen man auch die PHP-Seiten als Datei von der HP laden kann... also nicht durch php.exe gejagt sondern der Quelltext.
Stimmt das? Was kann man dagegen machen?
|
Falls Du mit den "angeblich existierenden Programmen" nicht den Download des Scriptes per FTP meinen solltest:
das Gerücht, es gäbe sowas, ist offenbar nicht totzukriegen.
IdR. hast Du für Deinen Webspace einen FTP Account, damit Du Dateien up- und downloaden kannst. Dieser Account ist natürlich mit einem Paßwort geschützt. Nachteil daran ist, daß beim FTP Protokoll das Paßwort im Klartext gesendet wird. Das Paßwort kann also "ge-snifft" werden.
Sniffer:
http://www.google.de/search?hl=de&q=...le-Suche&meta=
Sicherer wäre eine Übertragung per SFTP oder SCP, wenn der Provider sowas anbietet.
Ansonsten kann die große Userschar Deine PHP Scripte nur per HTTP aufrufen. Hier wäre der
seltene aber nicht unmögliche Fall zu beachten, daß der PHP Parser infolge von Schlamperei des Admins ausgefallen ist. Dann und nur dann würde der Apache PHP Scripte "ungeparst" ausliefern.
Und damit ein User in diesem seltenen aber nicht völlig ausgeschlossenem Fall kein Script aufrufen kann, in dem zB. Paßwörter drinstehen, versteckt man diese Scripte
oberhalb des Documentroot (
http://host/../config.php weist der Apache ja ab) und fügt sie in aufrufbare Scripte per include/require ein.