php quellcode sicher?
-
hi,
mal ne frage. gibt es IRGENDEINE möglichkeit, dass unfreundliche besucher meiner homepage den quellcode der php datei rausbekommen, ohne dass er ausgeführt wird?
also rein theoretisch, egal wie? (nur die möglichkeit das/ein ftp-passwort zu hacken/brute-forcen ausgenommen)
wenn die homepage auf einem öffentlichen host liegt?
gibts (/gabs) da bekannte sicherheitslücken o.Ä.?
lw
-
wenn dein php-script selbst unsicher ist, sonnst nicht...
<?php
readfile( $file );
?>hallo.php?file=hallo.php
gibt sich selbst aus... des wäre unsicher .
-
nett wäre auch ne uploadmöglichkeit, die relativ ungeprüft php skripte zum upload gibt (oder perl, und der server spricht zufälligerweise auch sowas)
dann wäre es ein einfaches, deine skripte zu lesen (ein wenig verzeichniswandern..)
aber sowas hast du sicher nicht
-
Man sah das früher häufiger, daß das php-Modul nicht lief (wohl zuvor abgestürzt), und man dann beim Click auf das Script den Quellcode angezeigt bekam.
Allerdings ist mir das schon lange nicht mehr begegnet.
Allerdings gibt's ja die Empfehlung, daß man bei php-Programmen die Dateien mit festcodierten Passwörtern, Pfadangaben, usw, in ein eigenes Verzeichnis verlagert und dieses dann zusätzlich über ein .htaccess schützt.
-
Marc++us schrieb:
Man sah das früher häufiger, daß das php-Modul nicht lief (wohl zuvor abgestürzt), und man dann beim Click auf das Script den Quellcode angezeigt bekam.
Allerdings ist mir das schon lange nicht mehr begegnet.
Allerdings gibt's ja die Empfehlung, daß man bei php-Programmen die Dateien mit festcodierten Passwörtern, Pfadangaben, usw, in ein eigenes Verzeichnis verlagert und dieses dann zusätzlich über ein .htaccess schützt.
Gleich aus dem DocumentRoot raus, dann kann nix passieren.
-
Bei IIS gab es da mal einen Bug, dass eine aufgerufene Datei nicht korrekt an das entsprechende ISAPI/CGI-Modul übergeben wurde, wenn man den Hauptdatenstream explizit in der Adresse angibt also filename.php:$DATA . Ist aber schon einige Zeit her, dass es diesen Bug gab, glaube ich.
