4. Nur untergeordnet includieren!

Nur untergeordnet includieren!

  • N

    Razy345 schrieb:

    Das Problem ist auch das USER und mein Skript vom selben Besitzer sind. auch von der selben Gruppe.

    Du meinst also Du möchtest den Benutzer vom Zugriff auf eine Datei abhalten die er ohnehin besitzt? Macht nicht viel Sinn und wird nicht sauber funktionieren.
    (Oder habe ich Dich jetzt falsch verstanden?)

    Das ist ja nicht "nur" mein system.. das Skript soll freeware werden und da soll es schon auf alle möglichen servern laufen..

    Gerade dann würde ich die Rechte vernünftig aufteilen.

    0
  • ?

    Es ist ja ein PHP Skript.
    Es soll auf jeden Webspace laufen. Und da kann nicht jede hoster einfach mal eben ein oder mehrere user erstellen. Deshalb brauch ich eine andere möglichkeit.

    Der User ladet die Datei mit der Uploadfunktion von PHP hoch.

    Die einzigen möglichkeiten die mir einfallen sind mit .htaccess,Dateirechte oder php. Irgendwie muss man da was machen. oder es geht halt garnicht. Das geht auch php nicht.

    Das Skript soll halt für jeden laien sein ohne irgendwie viel hintergrundwissen haben zu müssen.

    0
  • N

    Razy345 schrieb:

    Es ist ja ein PHP Skript.
    Es soll auf jeden Webspace laufen. Und da kann nicht jede hoster einfach mal eben ein oder mehrere user erstellen. Deshalb brauch ich eine andere möglichkeit.

    Doch, normalerweise erstellt sehr wohl jeder Hoster einen User pro Kunde.

    Der User ladet die Datei mit der Uploadfunktion von PHP hoch [...]
    Das Skript soll halt für jeden laien sein ohne irgendwie viel hintergrundwissen haben zu müssen.

    😕
    Erklär doch mal genauer, was Du machst bzw machen möchtest.

    0
  • ?

    Also das Skript ist jetz keine Professíonelle Lösung wie Confixx oder so.
    Es ist ein einfaches PHP Skript. Das jeder Webspace Besitzer (!) installieren kann um ein Webspace Service zu betreiben. Also auch wenn er kein eigenen Server hat.

    Wenn die User die sich da anmelden jetz php hochladen könnten, wäre es eine große sicherheitslücke (siehe oben) - deshalb werden .php (.php3 etc.) dateien geblockt. Gleiche gilt für cgi dateien.

    Wie gesagt der Hoster selbst hat nur ein Besitzer und ist nur in dieser einen Gruppe... und alle Dateien unter ihn haben die selbe gruppe/besitzer. Deshalb gibt es da probleme.

    Hoffe es ist einigermaßen verständlich.

    0
  • N

    Razy345 schrieb:

    Hoffe es ist einigermaßen verständlich.

    Ja, jetzt kenne ich mich aus. 💡

    Nur halte ich das nach wie vor nicht für sinnvoll; das lässt sich nicht sauber einrichten, sorry.
    Außerdem sehe ich den Vorteil nicht, den das für die User gegenüber einem richtigen Hoster bringen soll.

    0
  • S

    Eigentlich geht das nicht, denn der Apache Webserver unterscheidet nicht, wem eine Datei gehört, sind die Rechte so gesetzt, dass er drauf zugreift, dann kann man die Datei lesen/benutzen.

    Was du machen kannst, damit die Benutzer nicht wissen, wo sich diese sql.php befindet, ist dynamic virtual host, damit die verzeichnisse getrennt werden, das gute daran, du kannst virtual hosts hinzufügen, ohne die Konfiguration zu ändern und apache neu zu starten. Du kannst auch deine sql.php so schützen, dass das Verzeichnis /user irgendwo anders liegt, so dass die Benutzer keine Ahnung haben, wo zum Teufel sql.php liegt. Was ich auch öfters mache, sind Tricks in solchen Datein einzubauen

    <?php

if(!isset($sbgsggsghsgsgsggfggsha)) die("Zugriff verweigert");

?>

    und in jeder php Datei, die sql.php includen muss

    <?php
$sbgsggsghsgsgsggfggsha=1;
?>

    als erstes einfügen.

    Zu den dynamischen virtual hosts: http://httpd.apache.org/docs-2.0/vhosts/mass.html (ich glaube, das geht nur bei apache2).

    0
  • N

    suptertux: Das bringt doch nix. Abgesehen davon, dass das hässlich ist, müsstest Du so auch jede Datei, die diese Geheimvariable setzt auf die gleiche Art "schützen". 👎

    0
  • S

    nman schrieb:

    suptertux: Das bringt doch nix. Abgesehen davon, dass das hässlich ist, müsstest Du so auch jede Datei, die diese Geheimvariable setzt auf die gleiche Art "schützen". 👎

    stimmt allerdings, jemand der sich auskennt, knackt das in halber Minute.

    0
  • ?

    Und mit fopen kann man es direkt im klartext auslesen 🙂

    0
  • U

    Das beste ist: Man konfiguriert seinen Server so das es keine Probleme gibt.
    Alles andere ist nicht praktikabel. Wer sich da nicht auskennt sollte auch keinen FreeWebSpace anbieten.
    Für behebbare, offensichtliche Sicherheitsmängel und den daraus entstandene Schaden kann man haftbar gemacht werden.

    0
Anmelden zum Antworten