safe mode

Die Scriptsprache PHP fĂĽr die Gestaltung von dynamischen Websites.

Beitragvon radditz » Mi 05 Apr, 2006 21:10

du willst einen Explorer?
Naja, du könntest (das is wohl die einfachste Lösung) einfach in jedes Directory eine "für den Benutzer unsichtbare Datei" einfügen, z.B.
access.allowed
Dein Explorer Script prĂĽft dann einfach, ob diese Datei existiert (wenn du einen neuen Ordner anlegst oder so, musst du diese Datei natĂĽrlich auch anlegen).
Zusätzlich kannst du damit dein Explorer Script ja erweitern und in dieser Datei ein paar Sachen speichern, z.B. Zugriffsrechet der Datei, IP Adresse, was auch immer.
Wichtig ist halt, dass du z.B. per .htaccess den Zugriff auf diese Datei verbietest, und auch ein Explorer Script sollte diese Datei nicht anzeigen.

Grundsätzlich solltest du dich nie auf Sicherheitsroutinen anderer verlassen, zumindest nicht, wenn es um kritische Daten - wie in dem Fall dein System - geht.
Unter Linux KĂ–NNTE man so etwas mit einer ordentlichen Systemkonfiguration verhindern, aber 100 prozentig sicher ist es deshalb auch nicht - jedes System hat irgendwo eine Schwachstelle.
Telematica DSL Solo Pro 30 Mbit/s
Vorher: A1 VDSL 16 Mbit/s
radditz
Ultimate Power-User
Ultimate Power-User
 
Beiträge: 4399
Registriert: Mo 23 Jun, 2003 16:50

Beitragvon max_payne » Mi 05 Apr, 2006 21:18

naja ich will jetzt eigentlich verhindern, dass jemand auf seinen webspace ein script hochlädt, das ihm zugriff auf meine daten verschafft
max_payne
Ultimate Power-User
Ultimate Power-User
 
Beiträge: 4982
Registriert: Mo 30 Aug, 2004 12:25

Beitragvon radditz » Mi 05 Apr, 2006 21:27

ach darum gehts...
dazu eignet sich NUR und wirklich NUR Linux.
Allerdings kann ich mich daran erinnern, dass ich bei meinem früheren Webspace Provider (ich möchte keine Namen nennen) mal ein bisschen rumgespielt hab und Zugriff auf so gut wie jeden Webspace Account bekommen habe, weil der phpmyadmin Ordner vollkommen ungeschützt war und somit einfach über ein PHP Script ausgelesen werden konnte. Natürlich auch alle anderen Verzeichnisse...

Prinzipiell kannst du das gar nicht verhindern, dazu bräuchtest du wirklich für jeden Ordner einen eigenen HTTP Server mit entsperchenden Zugriffsrechten, etc... (bessert mich aus, wenns schon eifnacher geht ;))
Jedenfalls kannst du zumindest die Ordner schĂĽtzen, die nicht im Web sind, indem du Linux benĂĽtzt. Da geht das am besten mit den Zugriffsrechten.
von daher kannst du sowas unter Windows ziemlich vergessen.
Telematica DSL Solo Pro 30 Mbit/s
Vorher: A1 VDSL 16 Mbit/s
radditz
Ultimate Power-User
Ultimate Power-User
 
Beiträge: 4399
Registriert: Mo 23 Jun, 2003 16:50

Beitragvon max_payne » Mi 05 Apr, 2006 21:39

wĂĽrde es funktionieren, wenn ich fĂĽr xampp eine eigene physische partition verwende?
max_payne
Ultimate Power-User
Ultimate Power-User
 
Beiträge: 4982
Registriert: Mo 30 Aug, 2004 12:25

Beitragvon Kakashi » Mi 05 Apr, 2006 21:45

Könnten wir mal das Skript sehen?
Kakashi
Board-User Level 1
Board-User Level 1
 
Beiträge: 512
Registriert: Do 09 Jun, 2005 18:54

Beitragvon max_payne » Mi 05 Apr, 2006 22:00

eher ungern:
aber kurz gesagt es beruht darauf, dass es mit readdir() die ordner ausliest, die per GET übergeben werden, und per fopen die dateien öffnet
max_payne
Ultimate Power-User
Ultimate Power-User
 
Beiträge: 4982
Registriert: Mo 30 Aug, 2004 12:25

Beitragvon radditz » Mi 05 Apr, 2006 22:01

wahrscheinlich nicht, weil wenn jeder ein Script ausfĂĽhren kann, dann kann er z.B. auch einfach sowas machen:
<?
$fp = fopen("C:\\was weiĂź ich.txt", "w"); oder "r"
...

?>
Telematica DSL Solo Pro 30 Mbit/s
Vorher: A1 VDSL 16 Mbit/s
radditz
Ultimate Power-User
Ultimate Power-User
 
Beiträge: 4399
Registriert: Mo 23 Jun, 2003 16:50

Beitragvon superracer » Do 06 Apr, 2006 00:23

max_payne hat geschrieben:gibts jetzt noch nen lösungsvorschlag, oder soll ich mich nach was anderem umsehen?

benutz ein gscheites betriebssystem :P
superracer
Board-User Level 3
Board-User Level 3
 
Beiträge: 1073
Registriert: So 04 Jul, 2004 11:18

Beitragvon max_payne » Do 06 Apr, 2006 05:56

benutz ein gscheites betriebssystem Zunge zeigen

das tu ich bereits!
max_payne
Ultimate Power-User
Ultimate Power-User
 
Beiträge: 4982
Registriert: Mo 30 Aug, 2004 12:25

Beitragvon medice » Do 06 Apr, 2006 08:02

fĂĽr diesen Zweck ist es aber nicht geeignet...
Mfg
Medice

Wir in Bayern brauchen keine Opposition, weil wir sind schon Demokraten. (c) Gerhard Polt
medice
Advanced Power-User
Advanced Power-User
 
Beiträge: 3288
Registriert: Fr 13 Mai, 2005 10:32
Wohnort: Graz

Beitragvon max_payne » Mo 08 Mai, 2006 13:13

so. nun hab ich endlich die lösung:
in der php.ini
die option basedir auf den htdocs-pfad zu setzen schafft abhilfe!
max_payne
Ultimate Power-User
Ultimate Power-User
 
Beiträge: 4982
Registriert: Mo 30 Aug, 2004 12:25

Vorherige

ZurĂĽck zu PHP

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 10 Gäste