Script-Sicherheit

Omnicron

Omnicron

Aktives Mitglied
Jetzt mal ne andere Frage.

wenn ich z.B. ein gleiches Fertigscript wie auf einer anderen Seite mir runterlade, sagen wir mal ein Forum oder PHPNuke z.B..

Beim Installieren eines solchen Scriptes muss ich immer einige Variablen anpassen wie z.B. das Adminpasswort, MySQL-Login, etc.

Jetzt brauche ich doch nur ein anderes Script mir auf meinen Server legen und die Sachen anzeigen lassen, kenne ja die Dateien.

Also z.B.:

<?PHP

require ('http://diedomain.de/includes/config.php');

echo $adminpass;

?>

Stimmt das?

Bei manchen Servern geht das Seeking doch über andere Server....


Wie kann ich das jetzt unterbinden?
 
das ist kein Problem.

denn beim aufruf über http
egal ob im Browser direkt oder per include wird doch das Script erst ausgeführt und dann sozusagen die Ausgabe des Scriptes über include oder require geladen...
 
nehmen wir mal an die zu includende seite hat den inhalt:

echo 'bla';
require 'config.php';

dann übergebe ich doch die variablen aus der config an die includierende seite. includiere ich jetzt noch einmal habe ich doch alles oder nicht

PS.: nee, kann ja nicht gehen. ich müsste vorher dem script sagen das er die Variablen auf meinen Server schickt.
 
QUOTE (Omnicron @ Mi 11.5.2005, 21:03) nehmen wir mal an die zu includende seite hat den inhalt:

echo 'bla';
require 'config.php';

dann übergebe ich doch die variablen aus der config an die includierende seite. includiere ich jetzt noch einmal habe ich doch alles oder nicht

PS.: nee, kann ja nicht gehen. ich müsste vorher dem script sagen das er die Variablen auf meinen Server schickt.

Also nun nochmal langsam,

welche Problematik meinst du, dass jemand deine Dateien auf den Webserver einbinden (includen) kann? - Dagegen kann man PHP im abgesichten Modus (safe_mode) laufen lassen, wozu Du zumind. deine php.ini anpassen musst. Bei Linux Debian gibt es dazu speziell ein Paket.


Solltest du aber die Problematik meinen, dass ein anderer Server deine PHP-Dateien einbinden kann (durch include oder require), dann bekommt er eigentlich keine brauchbaren Informationen, außer sie stehen in der Ausgabe oder die Dateien gehen nicht durch den PHP-Parser (das Risiko, dass dieser mal Ausfällt bleibt natürlich immer bestehen), d.h. normaler Weise kann ein anderer Webserver keine Variablen von einen Script bekommen. Sprich Sie bekommen die normale HTML-Ausgabe, wie jeder andere Besucher auch.


MfG Sascha
 
würde man wirklich fremde Scripte komplett über include laden können, dann würde es siche keine User mehr geben die auf Ebay oder anderswo irgentwelche Scripte verkaufen.

denn wenn auf diesen Wege an die Variablen kommen könnte, dann könnte man auch gleich das komplette Script anzeigen lassen...

zum Glück geht es nicht...
 
Sie müssen sich einloggen oder registrieren, um hier antworten zu können.
Zurück
Oben