Forum: Programmieren allgemein
by himitsu,
9. Mai 2008
wenn dein Server rein zufällig das Windows-\ versteht, dann bekommt manso leicht file=..\..\..\..\..\.htaccess etwas aus dem Rootverzeichnis :freak:
Aber OK, wenn es unte Linux läuft und "\" ungültig ist, dann geht es eventuell auch so :stupid:
Forum: Programmieren allgemein
by himitsu,
8. Mai 2008
.htaccess hat nur von außen eine Wirkung.
PHP läuft auf deinem Server und den interessiert eine .htaccess-Datei nicht die Bohne ... ergo hat man dank dieses Scripts auf alles Zugriff, sogar auf Verzeichnisse, welche sonst nicht von außen zugänglich sind (z.B. Backups, Logs)
Forum: Programmieren allgemein
by himitsu,
8. Mai 2008
wenn man ein Downloadverzeichnis hat, wo keine Sicherheitsrelevanten Dateien drin stehn, dann kann man auch ohne Dateiliste arbeiten, aber es muß sichergestellt sein, daß nur dateien aus diesem Verzeichnis abrufbar sind
ich selber hab den Download auf bestimmte Verzeichnisse beschränkt und auch noch sicherheitsrelevante Dateien ausgeschlossen (Dateiliste mit Dateinamen und Dateimasken...