Sicherheit von include
lima-city → Forum → Programmiersprachen → PHP, MySQL & .htaccess
auf
bestimmte variable
datei
endung
erste
funktion
kleine anmerkung
nutzen
paar sekunden
pawort
recht
relativ
schreibe
skript
speicher
variable
vorkommen
-
hallo!
Ich wollte euch hier mal fragen, ob normaler Weise meine PHP Files vor dem includen von anderen Servern/Websites gesch?tzt sind, oder ob man noch Zus?tzliche Rechte definieren muss. -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
hallo!
Ich wollte euch hier mal fragen, ob normaler Weise meine PHP Files vor dem includen von anderen Servern/Websites gesch?tzt sind, oder ob man noch Zus?tzliche Rechte definieren muss.
Sind gesch?tzt.
Wenn ein anderer Server/Website deine Seite includet, bekommte es nur die von deinen Skript gennerierte HTML-Seite.
Jens -
@ jacr:
Ich glaube er meinte es andersrum...
Ob er externe Seiten includen kann...
Soweit ich wei? geht das auf lima-city nicht.
Ansonsten ?berpr?fst du einfach noch mal ob http:// in der Variable vorkommt, welche dann includet wird.
Wenn kein http:// drin vorkommt wird includet, ansonsten abgebrochen, also so w?rde ich das machen.
H2O -
Das ist doch eigentlich egal denn erstens muss man Namen und Pfad wissen und dann kann man die ja auch so ?ffnen das l?uft aufs gleiche raus.
Aber du k?nntest die Seite auch sch?tzen, indem eine bestimmte Variable ?bergeben werden muss. -
hmm, so egal auch nich. Das ganze wird ein gr??eres Programm werden das auf vielen Websites laufen soll.
-
Wenn du von einem fremden Server ?ber eine http -Verbindung includest kannst du Funktionen, die in der Includeten Datei definiert wurden sind nicht nutzen. Wenn du ?ber http includest bekommst du nur den schon interpretierten Php-Code, sprich die ausgegebene HTML-Datei.
-
Noch eine kleine Anmerkung.
Du solltest die Endung schon .php und nicht z.B. .txt oder ..... nennen.
Denn sonst kann der andere sehen was in den Dateien steht. Und sollten da Passw?rter oder sonstiges drin sein ist das nicht so gut.
Jens -
phattek schrieb:
Wenn du von einem fremden Server ?ber eine http -Verbindung includest kannst du Funktionen, die in der Includeten Datei definiert wurden sind nicht nutzen. Wenn du ?ber http includest bekommst du nur den schon interpretierten Php-Code, sprich die ausgegebene HTML-Datei.
Danke, darauf hab ich gewartet.
jacr schrieb:
Noch eine kleine Anmerkung.
Du solltest die Endung schon .php und nicht z.B. .txt oder ..... nennen.
Denn sonst kann der andere sehen was in den Dateien steht. Und sollten da Passw?rter oder sonstiges drin sein ist das nicht so gut.
Jens
Ich bin kein PHP - Newbie mehr
, das ist mir schon klar. Ich wei? nicht wirklich wie du jetzt drauf gekommen bist. Wie ich schon geschrieben habe: Ich schreibe ein PHP Programm, txt files werden f?r gew?hlich nicht durch den Parser gejagt und Passw?rter werd ich wenn nur md5 verschl?sselt in txt/php files speichern.
-
redcow schrieb:
Passw?rter werd ich wenn nur md5 verschl?sselt in txt/php files speichern.
In Textdateien w?rde ich auch md5-verschl?sselte Passw?rter nicht speichern, da man diese je nach l?nge des Passworts relativ einfach "entschl?sseln" kann. Aber .ht????? -Files sind ganz gut geeignet, da die f?r den Homepagebetrachter nicht anzeigbar sind, aber durch php eingelesen werden k?nnen. -
Ich w?rd sie sowieso nie in txt Files Speichern, aber wenn sie Verschl?sselt sind w?rs eh egal
phattek schrieb:
In Textdateien w?rde ich auch md5-verschl?sselte Passw?rter nicht speichern, da man diese je nach l?nge des Passworts relativ einfach 'entschl?sseln' kann. Aber .ht????? -Files sind ganz gut geeignet, da die f?r den Homepagebetrachter nicht anzeigbar sind, aber durch php eingelesen werden k?nnen.
Relativ einfach zu entschl?sseln? Glaub ich eher nicht, md5 ist unm?glich zu 'entschl?sseln' und man kann auch nicht die PW L?nge daran erkennen. -
Du kannst MD5's nicht direkt entschl?sseln. Aber wenn du einfach durchprobierst und vergleist wird das schon. Je nach l?nge des urspr?nglichen Passwortes dauert das halt nur 'n paar Sekunden oder 'n paar Jahre.
Geht z.B. mit dem Prgramm, glaub ich:
http://www.openwall.com/john/ -
Schrecklich, das h?tte ich von md5 nicht erwartet.
-
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
