[Frank955]

Hallo!
ich habe folgende Frage an die PHP-Freaks

Kann ein Programm meine PHP-Dateien meiner Homepage 'downloaden', so dass
man den PHP-Code, der ja normalerweise auf dem Webserver geparst wird, ansehen
kann?

Es gibt ja diverse Crawler b.z.w. Web-Site-Spy-Tools, die die Dateien auf die
Festplatte kopieren können...

Danke im Voraus!
Gruß Frank

[Graumagier]

Zitat

Kann ein Programm meine PHP-Dateien meiner Homepage 'downloaden', so dass
man den PHP-Code, der ja normalerweise auf dem Webserver geparst wird, ansehen
kann?

Das geht auch mit dem normalen Browser. Vorausgesetzt, du hast Zugriff auf das Verzeichnis, in dem das Skript liegt.

[Frank955]

Zitat (Graumagier: 31.03.2005, 13:09)

Das geht auch mit dem normalen Browser. Vorausgesetzt, du hast Zugriff auf das Verzeichnis, in dem das Skript liegt.
<{POST_SNAPBACK}>

Hallo!
wie könnte ich mich davor schützen?
Angenommen in meiner 'index.php' ist nun diverser PHP-Code enthalten...
was könnte ich machen, dass andere das PHP-Script nicht lesen können?

Frank

[tobiasndw]

Nein, PHP-Dateien können nicht heruntergeladen werden.

Bei jedem Aufruf der PHP-Datei wird diese durch den Server geleitet welcher eben eine HTML-Datei daraus erzeugt. Auch "Webcrawler" können die PHP Datei nicht herunterladen.

Der Einzige Zugriff ist zb. über FTP mittels Kennwort.

[Graumagier]

Zitat

Nein, PHP-Dateien können nicht heruntergeladen werden.

Das kommt darauf an, wo sie liegen
Aber hast schon recht, solange sie im CGI-Verzeichnis liegen, kann man nicht ran.

[Frank955]

Zitat (Graumagier: 31.03.2005, 13:23)

Das kommt darauf an, wo sie liegen
Aber hast schon recht, solange sie im CGI-Verzeichnis liegen, kann man nicht ran.
<{POST_SNAPBACK}>

Sorry, aber im cgi-Verzeichnis?
Ich habe auch bei uns in der Firma schon viele FTP-Verzeichnisse gesehen, aber
die PHP-Dateien waren nie im cgi-Verzeichnis!

Müssen dann PHP-Dateien unbedingt in dieses Verzeichnis?

Frank

[tobiasndw]

Nein, nicht unbedingt. Ist nur wichtig das die PHP-Dateien durch den Server geleitet werden. Das geschieht in den meisten Fällen auch außerhalb des CGI Verzeichnisses.

[Graumagier]

Ja, ich habs gerade gemerkt
Sorry, mein Fehler.

[ichbines]

Hallo

Also normalerweise kann man sich die PHP-Datei nicht anschauen.
Wenn allerdings in der Adresszeile folgendes steht:

http://maier.at/foto...otos/foto1.html

Dann ist es problemlos möglich den PHP-Quellcode anzuschauen. Man muss nur den file-Paramter ändern. Deshalb sollte man diese Variante vermeiden. Man könnte mit dieser Variante auch z.B. Dateien löschen.

http://maier.at/foto...../../../bin/rm

usw. Weiß nicht mehr genau. Habe es allerdings auf der Cebit beim livehacking gesehen.


Ok, es gibt auch Apache Module die sowas verhindern können. Aber das müsste halt installiert und eingerichtet sein.

Dieser Beitrag wurde von ichbines bearbeitet: 31. März 2005 - 12:37

[Frank955]

Zitat (Fenix: 31.03.2005, 13:40)

chmod 644

Sorry, aber noch eine dumme Frage:
wie komme ich auf 'chmod 644'?
Ich arbeite mit WS_ftp...
Im Moment ist es so:
Frank

[ichbines]

Zitat

@ichbines das geht aber auch nur, wenn register_globals auf on ist oder mit irgendwelchen speziell dafür geprogten php scripts. Außerdem kann man meistens eh nichts auf dem Weg erreichen, weil kein mensch den Apache mit root oder normalen benutzer Rechten startet.
<{POST_SNAPBACK}>

Hm, die Einzelheiten weiß ich nicht genau.
Aber auf jedenfall haben dir dort auf 2 Seiten live demonstriert, wie man auf einer Wiki Seite und einer anderen Seite das Passwort aus einer Konfiguationsdatei auslesen konnte. (mit diesem Trick von oben) und beliebige Seiten löschen konnte. Es hatte problemlos funktioniert. Als sie dann mod_security installiert haben, hat der Eingriff nicht mehr funktioniert.

Ja, anscheinend waren überhaupt keine Überprüfungen im Skript drinnen. Also mit dieser Variante solltest du vermeiden zu arbeiten.

Dieser Beitrag wurde von ichbines bearbeitet: 31. März 2005 - 13:17