Wichtig: Upload Script auf FTP-Server und dessen Sicherheit?

[Supernova]

Ich grüße euch,

ich habe eine wichtige Frage:

Ich suche derzeit ein sicheres PHP Script oder Ähnliches zum uploaden von Bildern auf einen FTP Server. Dabei stelle ich mir die Frage, wie es hier mit der Sicherheit ist, wenn die FTP Zugangsdaten in einer PHP Datei etc. stehen?

Ich habe ein Script in Verbund mit einer mysql Datenbank erstellt zur Mitgliederverwaltung und möchte, dass Besucher die Möglichkeit erhalten, ein Bild ihres Charakters auf den Server hochzuladen, welches danach angezeigt wird.

Vielleicht kann mir jemand eine Adresse nennen, bei der ich ein gutes Script oder die entsprechenden Zeilen erhalte.

Viel wichtiger ist mir jedoch die Antwort auf die Frage, wie es mit der Sicherheit steht und ob es möglich ist, ein Script zu erstellen, welches auf den FTP Webhosting-Server zugreift, ohne das eine fremde Person die Zugangsdaten zum Server einlesen kann.

Ich möchte mich vor Missbrauch schützen.

[Jürg]

Da habe ich einmal etwas gefunden:
pc-town.de
Ich verwende dieses Script, es ist sehr gut.
Ich hoffe der Tipp hilft.

[Supernova]

Vielen Dank für den Link, ich werde mir das einmal ansehen.

Nun bleibt nur noch die Frage mit der Sicherheit aus. Ich suche schon lange nach einer Antwort, ob es möglich ist, aus den PHP Dateien die Zugangsdaten einzusehen als "fremde Person".

[Jürg]

Betrachte das erwähnte Script.
Es wird systembedingt kein Loggin mit Unser und Passwort gebraucht. Das chmod steht auf 777, somit kann prinzipiell jeder alles in dieses Verzeichnis heraufgeladen. Das Script prüft jedoch den Dateityp, damit gibst Du nur Bilddateiformate frei. Somit hast Du eine gewisse Sicherheit.
In das Verzeichnis stelle eine Datei "index.htm" die im Wesentlichen nur folgendes enthält:

PHP-Code:

<meta http-equiv="refresh"  content="0; URL=http://www.meineSeite.xx/" /> 


Damit verhinderst Du, dass jemand den Inhalt Deines Verzeichnis ansehen kann.
Zu guter Letzt. Schütze Deinen DB Zugang. Am Besten mit einem Verzeichnis ausserhalb der Root.
Normalerweise können die Zugangsdaten zur DB nicht eingesehen werden, ausser PHP würde versagen, dann könnte das Ganze als Text erscheinen, ist jedoch kaum je der Fall. Verzeichnisse ausserhalb der Root können überhaupt nicht eingesehen werden, das ist viel sicherer.
Beispiel, auf dem Server sind Deine Seiten wie folgt abgelegt:
/www/meineSeite.xx/doc/....hier Deine Seiten
nun wir auf dem Server ein Verzeichnis erstellt, dass wie folgt abgelegt wird:
/www/meineSeite.xx/sicher/inc.php
den Zugang zu dieser Seiter erhälst Du nur über ein Include aus Deiner Seite:

PHP-Code:

include ("/www/meineSeite.xx/sicher/inc.php"); 


Aber, ein Verzeichnis ausserhalb der Root kannst Du in der Regel nicht selber anlegen, das muss Dein Provider tun. Er wird Dir auch sagen, wie Du diese Seiten einbindest.
Alles Klar? Uff..

[Supernova]

Vielen Dank für die Antwort und deine Mühen, ich werde das beachten.

Die mySQL Datenbank liegt gesondert auf einem Webspace-Paket eines Kollegen, da sollte es somit keine Probleme geben.

[Supernova]

Das Mitglieder-Verwaltungs Script mit der Upload-Funktion ist jetzt fertig. Vielen Dank "Jürg", du hast mir sehr weitergeholfen.