PHP-Code im Klartext angezeigt

PaterNoster · 31.07.2006, 12:06

Da sieht man doch mal, wie wichtig es ist, dass z. B. keine Passwörter im Klartext gespeichert werden. Beim Aufrufen der Seite www.macup.com erhielt man heute morgen die PHP-Seite in der Code-Ansicht:

Warum das jetzt so passiert ist - keine Ahnung, aber wenn der Provider auf einmal irgendwie Mist baut, kann das ziemlich in die Hose gehen. Steht zwar jetzt nichts "gefährliches" drin, aber wenn man nur ein kleines bisschen geschludert hat, auch eine Sicherheitslücke.

schifti · 31.07.2006, 14:49

Oder der "Admin" hat via .htaccess PHP-Dateien "AddType text/html .php" zugewiesen

Ben · 31.07.2006, 17:01

Besonders gut finde ich die Variable $polleralarm. *gg*

Bookworm · 01.08.2006, 12:46

@PaterNoster: Toll, irgendwo musst du die Kennwörter aber speichern. Und wenns in ner Datenbank ist, brauchst du auch dafür Passwörter.... Deswegen sehe ich da wenig Chancen, noch viel versteckt zu halten, wenn der Parser ausfällt...

robo47 · 01.08.2006, 12:56

Zitat:

Zitat von Bookworm

@PaterNoster: Toll, irgendwo musst du die Kennwörter aber speichern. Und wenns in ner Datenbank ist, brauchst du auch dafür Passwörter.... Deswegen sehe ich da wenig Chancen, noch viel versteckt zu halten, wenn der Parser ausfällt...

einfach unterhalb des document-root, da kommt man ned ran, erstrecht ned wenn der parser nimmer tut!
oder in ein verzeichnis das via htaccess geschützt ist.

suppenmann · 03.08.2006, 11:14

ich hab das so gelöst, dass ich in das Verzeichnis, wo die Passwortdatei für mySQL ist, folgende htaccess hinzuzufügen:

Code:

<Files xy.php>
Deny from all
</Files>

Dadurch kann sie mit dem Browser nicht mehr geöffnet werden und nur noch der PHP-Parser und der FTP-Server haben noch Zugriff drauf.

schifti · 04.08.2006, 18:44

Wenn jetzt aber der Admin z.B. den .htaccess Name von .ht~ abändert oder du auf eine IIS zieht, hat man auch wieder Zugriff darauf.
Ausserhalb des DocumentRoots ist immer noch die beste Lösung (wenn es erlaubt ist, kann man dann auch kompfortable mit SymLinks arbeiten).

Auf jeden Fall als xx.inc.php speichern und ausserhalb von DR => beste Lösung

ex³ · 04.08.2006, 21:30

Der Code ist ein bisschen komisch oder? Überall die Abfang @s. Noch nicht mal mysql_error(); Und was soll das if else mit klammer und verketten? Kann man das nicht gescheit formulieren? Außerdem seh ich hier nirgends "new".

Ansonsten hab auch ich alles unterm webroot. Originalbilder, templates, cache, config. Ist vielleicht ein bisschen Einstellungssache wobei ich das mit .htaccess auch nicht verkehrt finde.

MrNiceGuy · 05.08.2006, 08:25

Wenn man auf einem Webspace sitzt, ist man IMMER vo Provider abhängig, da hilft es unter Umständen auch nicht, Dateien außerhalb des DocRoot zu lagern, wer weiß, wo der Provider nach dem Umzug die Dateien speichert!?

31.07.2006, 12:06	Nach oben #1
PaterNoster Erfahrener Benutzer Registriert seit: 18.08.2005 Ort: Dortmund Beiträge: 166	PHP-Code im Klartext angezeigt Da sieht man doch mal, wie wichtig es ist, dass z. B. keine Passwörter im Klartext gespeichert werden. Beim Aufrufen der Seite www.macup.com erhielt man heute morgen die PHP-Seite in der Code-Ansicht: Warum das jetzt so passiert ist - keine Ahnung, aber wenn der Provider auf einmal irgendwie Mist baut, kann das ziemlich in die Hose gehen. Steht zwar jetzt nichts "gefährliches" drin, aber wenn man nur ein kleines bisschen geschludert hat, auch eine Sicherheitslücke. __________________ wischtisch.de - jetzt auch mit Fotos. Und Senf. Geändert von PaterNoster (31.07.2006 um 12:08 Uhr).

31.07.2006, 14:49	Nach oben #2
schifti Erfahrener Benutzer Registriert seit: 06.12.2004 Ort: Bayern Beiträge: 179	Oder der "Admin" hat via .htaccess PHP-Dateien "AddType text/html .php" zugewiesen __________________ MFG Schifti -- Meine Abschlussdokumentation downloaden und mir ein Feedback senden Psychologische Praxis KJG Schwäbisch Gmünd

31.07.2006, 17:01	Nach oben #3
Ben Erfahrener Benutzer Registriert seit: 02.12.2004 Ort: Remagen Beiträge: 4.800	Besonders gut finde ich die Variable $polleralarm. gg __________________ Mehr TuS Koblenz geht nicht ... Aktuell ... - Neue Gegner für die TuS: 1.FC Nürnberg - 5 neue Gegner 2008/09 - Informationsveranstaltung für Mitglieder - Förderkasse füllt sich - B-Jugend Rheinlandpokalfinale terminiert - A-Jugend I gewinnt Rheinlandpokal

01.08.2006, 12:46	Nach oben #4
Bookworm n00b -.- Registriert seit: 10.11.2005 Beiträge: 318	@PaterNoster: Toll, irgendwo musst du die Kennwörter aber speichern. Und wenns in ner Datenbank ist, brauchst du auch dafür Passwörter.... Deswegen sehe ich da wenig Chancen, noch viel versteckt zu halten, wenn der Parser ausfällt... __________________ Alle wollen doch nur mein Bestes. Aber sie werden es nicht kriegen!

03.08.2006, 11:14	Nach oben #6
suppenmann Guy with soup Registriert seit: 27.05.2006 Beiträge: 44	ich hab das so gelöst, dass ich in das Verzeichnis, wo die Passwortdatei für mySQL ist, folgende htaccess hinzuzufügen: Code: <Files xy.php> Deny from all </Files> Dadurch kann sie mit dem Browser nicht mehr geöffnet werden und nur noch der PHP-Parser und der FTP-Server haben noch Zugriff drauf.

04.08.2006, 18:44	Nach oben #7
schifti Erfahrener Benutzer Registriert seit: 06.12.2004 Ort: Bayern Beiträge: 179	Wenn jetzt aber der Admin z.B. den .htaccess Name von .ht~ abändert oder du auf eine IIS zieht, hat man auch wieder Zugriff darauf. Ausserhalb des DocumentRoots ist immer noch die beste Lösung (wenn es erlaubt ist, kann man dann auch kompfortable mit SymLinks arbeiten). Auf jeden Fall als xx.inc.php speichern und ausserhalb von DR => beste Lösung __________________ MFG Schifti -- Meine Abschlussdokumentation downloaden und mir ein Feedback senden Psychologische Praxis KJG Schwäbisch Gmünd

04.08.2006, 21:30	Nach oben #8
ex³ Erfahrener Benutzer Registriert seit: 30.10.2005 Beiträge: 274	Der Code ist ein bisschen komisch oder? Überall die Abfang @s. Noch nicht mal mysql_error(); Und was soll das if else mit klammer und verketten? Kann man das nicht gescheit formulieren? Außerdem seh ich hier nirgends "new". Ansonsten hab auch ich alles unterm webroot. Originalbilder, templates, cache, config. Ist vielleicht ein bisschen Einstellungssache wobei ich das mit .htaccess auch nicht verkehrt finde.

05.08.2006, 08:25	Nach oben #9
MrNiceGuy Erfahrener Benutzer Registriert seit: 14.08.2005 Ort: Nienburg / Weser Beiträge: 609	Wenn man auf einem Webspace sitzt, ist man IMMER vo Provider abhängig, da hilft es unter Umständen auch nicht, Dateien außerhalb des DocRoot zu lagern, wer weiß, wo der Provider nach dem Umzug die Dateien speichert!? __________________ Paradox ist, wenn jemand für seinen Alkoholkonsum geradestehen soll

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

Themen-Optionen
Druckbare Version zeigen Diese Seite per E-Mail verschicken

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
PHP Variablen	Michael	PHP-Programmierung	1	23.09.2006 00:12
PHP 5.1.5, PHP 4.4.4 und PHP 5.2.0 RC2 veröffentlicht	Ben	Nachrichten	2	01.09.2006 16:05
PHP 5.1 ist drausen	robo47	Nachrichten	5	28.11.2005 20:30
Neue PHP "release candidates": PHP 4.4.2 RC 1 und PHP 5.1 RC 6	Ben	Nachrichten	1	21.11.2005 20:48
PHP Code wird nicht ausgeführt !	Dark Knight	PHP-Programmierung	22	13.09.2005 14:12