kostenloser Webspace werbefrei: lima-city


include_path > Sicherheit verbessern mit Includes...

lima-cityForumProgrammiersprachenPHP, MySQL & .htaccess

  1. Autor dieses Themas

    a********t

    servus,
    wenn zb php auf meinem server aufhört zu funktionieren, werden ja alle php-skripte im klartext dargestellt. das is aber bei sensiblen daten, wie kennwörtern etc (klar, kann man auch über datenbanken->mysql machen, aber soweit bin ich noch nich), nich so toll... un jetzt kann man, um sich gegen solche sicherheitslücken zu wappnen, den sicherheitsrelevanten code in eine include-datei auslagern, die nicht teil meiner webserver-verzeichnisstruktur is. normalerweise kann man den pfad (include_path) zu diesem verzeichnis in der php.ini festlegen - oder zumundest kann ich das auf meinem server der auf meinem rechner installiert ist...
    wie kann ich das jetzt aber hier auf dem lima-city-rechner/server machen? wie bekomme ich da den include_path oder wie lege ich ihn fest? geht des hier überhaupt?
    danke
  2. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

  3. Hallo acidplanet,
    an die php.ini von lima-city kommst du selbstverständlich nicht hinan, das ist auch gut so ;)

    Du kannst allerdings deine Include-Dateien mit einem # anführen (Bsp. #passwords.inc).
    Damit machst du dir eine Eigenheit von HTML zu Nutze, alles nach # Kommende als Ankerbezeichnung zu betrachten; die Datei lässt sich aber nach wie vor mit include() oder require() als Datei betrachten.
    Sollte also jemand die Include-Datei direkt im Browser aufrufen, wird er nur auf die Index-Datei im jeweiligen Ordner umgeleitet werden (Bsp. http://icecream.lima-city.de/#include.php).


    gruß
    ferdinand24

    Beitrag geaendert: 18.3.2007 17:51:04 von ferdinand24
  4. Autor dieses Themas

    a********t

    ok, danke. was passiert awa wenns keine index datei in dem ordner gibt, zeigt er mir die dann doch an?

    ps: wie auch waldorfschüler?(ich>heidelberg)

    Beitrag geaendert: 18.3.2007 18:00:04 von acidplanet

    Beitrag geaendert: 18.3.2007 18:04:09 von acidplanet
  5. t*****b

    Wenn du eine Datei mit den Passwörtern hast, sollte das auch eine PHP-Datei sein und kein Text-Datei.

    zB

    Mainpage:
    include("passwoerter.php");
    
    Passwoerter.php:
    <?php
    passwort = "hallo";
    ?>


    Dann kommt niemand an das Passwort ran, egal ob der Besucher das Verzeichnis kennt oder nicht.

  6. servus,
    wenn zb php auf meinem server aufhört zu funktionieren, werden ja alle php-skripte im klartext dargestellt.


    Ist sowas überhaupt schonmal vorgekommen?

    ferdinand24 schrieb:
    Hallo acidplanet,
    an die php.ini von lima-city kommst du selbstverständlich nicht hinan, das ist auch gut so ;)

    Richtig, aber es gibt ja auch den praktischen Befehl ini_set();
    http://de3.php.net/manual/de/function.ini-set.php

    Damit kann man temporär Einträge in der php.ini ändern (so dass sie nur für die aktuelle Datei gelten).

    @ferdinand24: Coole Idee !
  7. bladehunter schrieb:

    servus,
    wenn zb php auf meinem server aufhört zu funktionieren, werden ja alle php-skripte im klartext dargestellt.


    Ist sowas überhaupt schonmal vorgekommen?

    [...]

    Ja, sogar hier auf dem Community Server.
    Als der Apache neuinstalliert wurde, wurden für ein paar Sekunden die PHP-Dateien nicht interpretiert.
  8. Speichere die Kennwörter nicht als Klaartext sondern als MD5 hash funktion müsste ecrypt($pw) oder so heisen.
    Ein Ernstzunehmender Angreifer wir zwar auch das ohne allzu große Probleme knacken können, aber sie liegen eben nicht gleich im Klaartext, sprich für jeden offensichtlich auf dem Server.
    Selbst wenn du sie in eine Datenbank schreibst macht es sinn sie zu verhashen. Zwar kommt man mit geeigneter Software recht zügig dazu hashes con Strings bis ca. 10 Zeichen auszuwerten, aber das erfordert schon ein gewisses Basiswissen.

    MD5 funktioniert auch nur in die eine Richtung d.h. Passwort zu Hasch, aber nicht umgekehrt. Es wird dann auch nur noch der Hashwert des eingegebenen Passwortes gegengeprüft.

    Das hat auch noch den Vorteil dass eine SQL Foreign Code Injection über das Passwort ausgeschlossen wird ... aber leiber trotzdem immer jede Nutzereingabe gegenprüfen.

    Beitrag geaendert: 19.3.2007 9:45:09 von keiax

  9. bladehunter schrieb:

    servus,
    wenn zb php auf meinem server aufhört zu funktionieren, werden ja alle php-skripte im klartext dargestellt.


    Ist sowas überhaupt schonmal vorgekommen?

    [...]

    Ja, sogar hier auf dem Community Server.
    Als der Apache neuinstalliert wurde, wurden für ein paar Sekunden die PHP-Dateien nicht interpretiert.

    War ja auch in so einem Fall zu erwarten. Warum hat man dann nicht einfach den Server für die Neuinstallation aus dem Internet entfernt?
    Aber ansonsten dürfte es doch sehr unwahrscheinlich sein, dass nur das PHP Modul kaputt geht und der Rest normal weiterläuft.
    Ich würde sogar vermuten, dass Apache bei einem defekten PHP Parser mit einem 500er antwortet.

  10. War ja auch in so einem Fall zu erwarten. Warum hat man dann nicht einfach den Server für die Neuinstallation aus dem Internet entfernt?
    Aber ansonsten dürfte es doch sehr unwahrscheinlich sein, dass nur das PHP Modul kaputt geht und der Rest normal weiterläuft.
    Ich würde sogar vermuten, dass Apache bei einem defekten PHP Parser mit einem 500er antwortet.

    Wie gesagt es ist ja nicht unbedingt notwendig dass Der Parser defekt ist. Es kann durchaus sein, dass es durch unvorsichtige Konfiguration z.B. möglich ist direkt auf Quellcodes einer Seite zuzugreifen. Daher empfehle ich das Verhashen der Passwörter.
    Wobei das eben auch keine absolute Sicherheit bietet, denn auch solche Hashes hast du mit einer Guten Platte und einem Vernünftigen Prozessor in ca. 10 minuten geknackt, selbst wenn das PW 10 Stellen lang ist.
    Aber wer diese Methoden einsetzt weiss ohnehin schon so viel über die Hintergründe dass du dich gegen den nicht wirklich gut absichern kannst.

    Ich weiss nicht ob es in Lima inzwischen funktioniert Verzeichnisse über htaccess zu schützen. Falls ja, dann leg die Datei einfach in einen "unzugänglichen" Bereich ab. Includen kannst du ihn von dort aus auch ohne verifizierung, und wenn PHP ausfällt kommt trotzdem keiner über http an die Datei ran.
  11. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

Login zum Webhosting ohne Werbung!