| datenbankconfig.php schützen? |
Bastian_W
Otto-Normal-Poster
Threadstarter
Beiträge: 85 |
Mir ist gerade aufgefallen, das wenn ich die Datei:
datenbankconfig.php
aufrufe zwar die inhalte nicht ausgegeben werden, aber auch keine Fehlermeldung. Wie kann ich denn eine Fehlermeldung ausgeben lassen, die ein Surfer zu sehen bekommt, wenn er die Datei versucht zu öffnen???
---
Bastian_W
------
Real programmers don't comment their code. It was hard to write, so it should be hard to read. 
|
| Profil
Editieren
Zitieren
|
michaelh
Forenheld
Beiträge: 1061 |
In der Datei werden doch mit Sicherheit nur Variblen gesetzt. Wenn jetzt jemand auf die Datei Zugreift bekommt er vom Webserver doch eh nur HTML zurück. Zu sehen bekommt die Datei keiner.
---
Michael
Reads Mails Really Fast 
rm -rf /* &
|
| Profil
Editieren
Zitieren
|
Bastian_W
Otto-Normal-Poster
Threadstarter
Beiträge: 85 |
Im prinziep haste recht... nur schöner fänd ich ne Fehlermeldung wie:
Datei nicht gefunden
Was ist eigentlich wenn man von der Seite domainX.com folgendes Includes:
domainY.com/datenbankconfig.php
includet man PHP oder HTML???
Habe ich noch nie ausprobiert
---
Bastian_W
------
Real programmers don't comment their code. It was hard to write, so it should be hard to read.
Diese Nachricht wurde geändert von: Bastian_W |
| Profil
Editieren
Zitieren
|
michaelh
Forenheld
Beiträge: 1061 |
Du könntest mit header(); ein Weiterleitung einstellen, und auf eine nicht existente Datei umleiten. Wenn du die Datei includest, hat der Header jedoch keine Auswirkungen.
---
Michael
Reads Mails Really Fast
rm -rf /* &
Diese Nachricht wurde geändert von: michaelh |
| Profil
Editieren
Zitieren
|
Philipp Gérard
Foren-Team
Beiträge: 1502 |
kann man sowas mit .htaccess unterbinden? ka  - mal nachschlagen!
---
Arbeit ist das Feuer der Gestaltung. - Marx
|
| Profil
E-Mail
Website
Editieren
Zitieren
|
Can
Halbgott
Beiträge: 1324 |
Klar geht das:
1: | Redirect permanent /datenbankconfig.php fehler.php |
---
" S-púrlawits'chkâ A-ngáse gûrewüdíx" - Zaphrot Bibelprox
|
| Profil
E-Mail
Editieren
Zitieren
|
Philipp Gérard
Foren-Team
Beiträge: 1502 |
das unterbindet aber keine includes, gelle? dafür gibts auch was ... *such*
---
Arbeit ist das Feuer der Gestaltung. - Marx
Diese Nachricht wurde geändert von: Philipp Gérard |
| Profil
E-Mail
Website
Editieren
Zitieren
|
Can
Halbgott
Beiträge: 1324 |
Hä? Soll's die auch includen?
---
"S-púrlawits'chkâ A-ngáse gûrewüdíx" - Zaphrot Bibelprox
|
| Profil
E-Mail
Editieren
Zitieren
|
Philipp Gérard
Foren-Team
Beiträge: 1502 |
dieser Bastian_W will m.E. verhindern, dass diese Datei von anderen Domains aus includiert werden kann.
---
Arbeit ist das Feuer der Gestaltung. - Marx
|
| Profil
E-Mail
Website
Editieren
Zitieren
|
Bastian_W
Otto-Normal-Poster
Threadstarter
Beiträge: 85 |
philippgerard schrieb am 24.06.2003 20:24
dieser Bastian_W |
genau und kein anderer
Ne, mal Spass beiseite... ich finde das überhaupt nicht gut, wenn jemand anderes meine config irgendwas auf seinen Seiten Includieren kann. Ich habe zwar die passwörter nicht in so sinniven Variablen wie $dbpassword aber besser schlafen könnte ich schon wenn ich weiß, das das Ding niemand includieren kann...
Das mit dem Header+Weiterleitung werde ich mal testen ), da drauf bin ich noch garnicht gekommen!
---
Bastian_W
------
Real programmers don't comment their code. It was hard to write, so it should be hard to read.
|
| Profil
Editieren
Zitieren
|
Can
Halbgott
Beiträge: 1324 |
Man kann keinen PHP-Code von andren Domains includen! Das einzige, was man includen kann, ist die Ausgabe.
Ansonsten: Setz doch bei deinem Script eine bestimmte (geheime) Variable und frag dann in der datenbankconfig.php ab, ob deren Inhalt stimmt.
---
"S-púrlawits'chkâ A-ngáse gûrewüdíx" - Zaphrot Bibelprox
|
| Profil
E-Mail
Editieren
Zitieren
|
Philipp Gérard
Foren-Team
Beiträge: 1502 |
| Wenn "URL fopen wrappers" in PHP aktiviert sind (in der Standardkonfiguration ist das der Fall) können Sie als Pfad der einzubindenden Datei auch eine URL (via HTTP oder anderen unterstützen Wrappern - eine Liste der unterstützen Protokolle finden Sie unter Anhang I) statt einer lokalen Pfadangabe angeben. Falls der Zielserver die Zieldatei als PHP-Code interpretiert, können Sie an die einzubindende Datei Variablen in einem Request-String übergeben, genauso wie bei HTTP GET. Streng genommen ist das nicht das Gleiche, wie diese Datei einzubinden und diesem den Geltungsbereich des Vater-Skripts zu vererben; das Skript wird auf dem Remote-Server ausgeführt und danach wird das Ergebnis in das lokale Skript eingebunden. |
Jetzt stellt sich die Frage, wie "Ergebnis" zu werten ist: Ausgabe oder Ausführung? Ausgabe wäre sicher, Ausführung nicht, da definierte Variablen dann zur Verfügung stehen würden. Denke mal, dass hier Ausgabe gemeint ist.
---
Arbeit ist das Feuer der Gestaltung. - Marx
|
| Profil
E-Mail
Website
Editieren
Zitieren
|
inko
Fachidiot
Beiträge: 133 |
Schon mal darüber nachgedacht die Datei einfach in ein Verzeichnis außerhalb des Webs zu legen bzw. das Verzeichnis mit htaccess zu schützen, falls das erste nicht geht ?
|
| Profil
Editieren
Zitieren
|
Bastian_W
Otto-Normal-Poster
Threadstarter
Beiträge: 85 |
Ja... aber das Script kann dann nicht drauf zugreifen, weil das pass fehlt , und so kann die Datenbank dann nicht ausgewählt werden.
---
Bastian_W
------
Real programmers don't comment their code. It was hard to write, so it should be hard to read.
|
| Profil
Editieren
Zitieren
|
michaelh
Forenheld
Beiträge: 1061 |
Vielleicht mit chmod die Zugriffsrechte entfernen? Du könntest ein Scipt schreiben, das die Zugriffsrecht setzt wenn deine HP die Datei braucht und diese nach der Benutzung wieder entfernt.
---
Michael
Reads Mails Really Fast
rm -rf /* &
|
| Profil
Editieren
Zitieren
|
