SELFPHP: Version 5.8.1 Befehlsreferenz - Tutorial – Kochbuch – Forum für PHP Einsteiger und professionelle Entwickler

SELFPHP


Professional CronJob-Service

Suche


International PHP Conference


WebTech Conference



CronJob-Service    
bei SELFPHP mit ...



 + minütlichen Aufrufen
 + eigenem Crontab Eintrag
 + unbegrenzten CronJobs
 + Statistiken
 + Beispielaufrufen
 + Control-Bereich

Führen Sie mit den CronJobs von SELFPHP zeitgesteuert Programme auf Ihrem Server aus. Weitere Infos



PHP Summit


Software Architecture Summit


:: Buchempfehlung ::

Das Zend Framework

Das Zend Framework zur Buchempfehlung
 
HTML5 Days


JavaScript Days


:: Anbieterverzeichnis ::

Globale Branchen

Informieren Sie sich über ausgewählte Unternehmen im Anbieterverzeichnis von SELFPHP  

 

:: Newsletter ::

Abonnieren Sie hier den kostenlosen SELFPHP Newsletter!

Vorname: 
Name:
E-Mail:
 
 

Deine Leidenschaft ist die Unterwasserfoto-grafie?


Dann ist Qozido genau das Richtige für Dich!

Die Bilderverwaltung mit Logbuch für Taucher und Schnorchler ist da!

www.qozido.de

 


Zurück   PHP Forum > SELFPHP > PHP Grundlagen

PHP Grundlagen Hier kann über grundlegende Probleme oder Anfängerschwierigkeiten diskutiert werden

Antwort
 
Themen-Optionen Ansicht
  #1  
Alt 21.04.2002, 16:03:15
Benutzerbild von |Coding
|Coding |Coding ist offline
Administrator
 
Registriert seit: Apr 2002
Ort: Bergheim
Alter: 31
Beiträge: 5.255
|Coding hat die Renommee-Anzeige deaktiviert
|Coding eine Nachricht über Skype™ schicken
*.inc sicherheitslücke?

tach zusammen,

mal ne frage sind *.inc dateien nicht potenzielle sicherheitslücken?
wenn mal eine *.inc datei direkt aufruft kann es, je nach konfiguration, vorkommen das der server dem browser direkt die include datei anbietet.
ich löse das immer so das ich hinter das *.inc noch ein *.php dranhänge, also dann *.inc.php, weil so werden die include datein auch geparsed, sie geben dann vielleicht einen fehler aus, aber sie werden denoch nicht direkt dem browser angeboten.
somit ist der quellcode geschützt.
man könnte die sache zwar noch mit einer .htaccess datei lösen:
Code:
Addhandler server-parsed .inc
aber nicht jeder hat zugriff auf die .htaccess datei. das ist doch soweit richtig oder?
__________________
Gruß |Coding

---
Qozido® - Die Bilderverwaltung mit Logbuch für Taucher und Schnorchler.

www.qozido.de
Mit Zitat antworten
  #2  
Alt 21.04.2002, 18:42:58
Dago Dago ist offline
Member
 
Registriert seit: Mar 2002
Beiträge: 548
Dago befindet sich auf einem aufstrebenden Ast
Es ist völlig normal, dass zu inkludierende Dateien, für die der Server keinen Handler hat, direkt an den Browser geschickt werden. Denn für solche Dateien gilt: text/plain
Wo soll da jetzt ein Sicherheitsloch sein?? Wenn du geparste Dateien haben willst, nimm halt .php als Endung ;)
Mit Zitat antworten
  #3  
Alt 21.04.2002, 18:48:45
Benutzerbild von |Coding
|Coding |Coding ist offline
Administrator
 
Registriert seit: Apr 2002
Ort: Bergheim
Alter: 31
Beiträge: 5.255
|Coding hat die Renommee-Anzeige deaktiviert
|Coding eine Nachricht über Skype™ schicken
hi,

jo hab ich ja, die endung *.php, aber es ist doch so das wenn nicht *.php als endung genommen wird, dann sendet der server doch direkt die datei zum browser... das ist doch ein sicherheitsloch für den quellcode den man geschrieben hat und nicht so ohne weiteres weitergeben will.
__________________
Gruß |Coding

---
Qozido® - Die Bilderverwaltung mit Logbuch für Taucher und Schnorchler.

www.qozido.de
Mit Zitat antworten
  #4  
Alt 21.04.2002, 18:52:07
Dago Dago ist offline
Member
 
Registriert seit: Mar 2002
Beiträge: 548
Dago befindet sich auf einem aufstrebenden Ast
Quellcode gehört ja auch nicht in "normale" Dateien, sondern nur in .php ;-)
Mit Zitat antworten
  #5  
Alt 21.04.2002, 18:55:08
Benutzerbild von |Coding
|Coding |Coding ist offline
Administrator
 
Registriert seit: Apr 2002
Ort: Bergheim
Alter: 31
Beiträge: 5.255
|Coding hat die Renommee-Anzeige deaktiviert
|Coding eine Nachricht über Skype™ schicken
jo das wollt ich ja damit verdeutlichen ;)
__________________
Gruß |Coding

---
Qozido® - Die Bilderverwaltung mit Logbuch für Taucher und Schnorchler.

www.qozido.de
Mit Zitat antworten
  #6  
Alt 21.04.2002, 23:54:13
gray
Guest
 
Beiträge: n/a
-

Geändert von gray (03.12.2007 um 12:32:53 Uhr)
Mit Zitat antworten
  #7  
Alt 22.04.2002, 14:26:19
Benutzerbild von Nev
Nev Nev ist offline
Member
 
Registriert seit: Feb 2002
Ort: Österreich / Wien
Alter: 34
Beiträge: 992
Nev befindet sich auf einem aufstrebenden Ast
Hi @ll

auf htaccess Dateien sollten generell die Rechte 666 haben.
aber wenn nicht ist es auch kein Problem.

@|Coding
Inc-Dateien werden direkt ausgegeben, da der Server diese Endung ned kennt.

Ich kann nur empfehlen das ganze in PHP -Dateien umzubenennen.

Du kannst das ganze noch etwas verfeinern, in dem du noch eine IF-Abfrage einbaust.

das Heißt:
wenn du die Datei direkt aufrufst, zeigt er einen Error, wenn du es von der Haupt-Datei aufrufst gibt du noch einen Parameter mit.

Ich hoffe du weißt was ich meine
__________________
Cu
Nev the XxX (Sven-Marcus Maderbacher)

Master of www.Burnworld.de
www.Nev-hilft.de die Seite für den Coder
Mit Zitat antworten
  #8  
Alt 22.04.2002, 15:58:42
Dago Dago ist offline
Member
 
Registriert seit: Mar 2002
Beiträge: 548
Dago befindet sich auf einem aufstrebenden Ast
Zitat:
Original geschrieben von Nev
wenn du die Datei direkt aufrufst, zeigt er einen Error, wenn du es von der Haupt-Datei aufrufst gibt du noch einen Parameter mit.
Das kann man übrigens mit sowas realisieren:

if (sizeof(get_included_files()) == 0) {
header('HTTP/1.0 404 Not Found');
}
Mit Zitat antworten
  #9  
Alt 22.04.2002, 16:06:05
Benutzerbild von Nev
Nev Nev ist offline
Member
 
Registriert seit: Feb 2002
Ort: Österreich / Wien
Alter: 34
Beiträge: 992
Nev befindet sich auf einem aufstrebenden Ast
@Dago

Diese Lösung ist echt spitze

Werde ich in mein Sichterheits konzept einbauen

BIG THX für deinen Beitrag
__________________
Cu
Nev the XxX (Sven-Marcus Maderbacher)

Master of www.Burnworld.de
www.Nev-hilft.de die Seite für den Coder
Mit Zitat antworten
  #10  
Alt 22.04.2002, 17:20:38
Benutzerbild von |Coding
|Coding |Coding ist offline
Administrator
 
Registriert seit: Apr 2002
Ort: Bergheim
Alter: 31
Beiträge: 5.255
|Coding hat die Renommee-Anzeige deaktiviert
|Coding eine Nachricht über Skype™ schicken
hi all,

jo thx für den tipp nev und das mit der if anweisung echt super dago
__________________
Gruß |Coding

---
Qozido® - Die Bilderverwaltung mit Logbuch für Taucher und Schnorchler.

www.qozido.de
Mit Zitat antworten
Antwort


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 
Themen-Optionen
Ansicht

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind aus.
[IMG] Code ist aus.
HTML-Code ist aus.

Gehe zu


Alle Zeitangaben in WEZ +2. Es ist jetzt 11:50:21 Uhr.


Powered by vBulletin® Version 3.8.3 (Deutsch)
Copyright ©2000 - 2014, Jelsoft Enterprises Ltd.


© 2001-2014 E-Mail SELFPHP OHG, info@selfphp.deImpressumKontakt