Seite 5 von 12
Verfasst: 02.07.2004 11:34
von Leuchte
außerhalb des Web-Ordners abzulegen, so dass Sie nicht über eine URL zu erreichen ist
Das sagt doch alles, oder?
Beispielsweise könnte bei falschen
Berechtigungen die config.php aufgerufen werden und die wichtigen Daten würden offen liegen.
Dieses Risiko wird damit ausgeschlossen.
Verfasst: 05.07.2004 14:32
von Cyber Soldier
Könnte man die Datei nicht auch mit einen Passwort Schützen ?
Verfasst: 18.07.2004 19:33
von Dennis63
Es bingt absolut gar nichts, die Config-Datei zu verschieben oder zu schützen.
Wenn PHP als Modul läuft, dann ist es 100% unmöglich in sie hineinzusehen.
Wenn PHP als CGI läuft, dann müßte PHP sich selber abschalten ohne einen Fehler zu produzieren, damit man in den Quelltext von PHP Datein gucken zu können. Und das wäre ungefähr so, wie wenn man einen "Bluescreen" von Windows mit einem Fusstritt gegen den PC wieder "weg" bekommt ohne reboot.
Grüße
Dennis
Verfasst: 18.07.2004 19:50
von Crack02
und wenn schon. n neues dir machen und da nen htaccess und die config reinknallen is doch nie verkehrt, oder? a wenns deiner meinung nach nix bringt
Verfasst: 18.07.2004 21:16
von larsneo
Wenn PHP als Modul läuft, dann ist es 100% unmöglich in sie hineinzusehen.
das gilt sicherlich für den direkten aufruf - wenn allerdings irgendein mod ein entsprechendes include ermöglicht, könnte auch durchaus die config.php ziel eines angriffs sein
Verfasst: 19.07.2004 18:18
von Dennis63
Wenn es ein "Angriff" ist, der per "Include" geschiet, dann ist die config.php aber auch in einem per htaccess geschützen Bereich nicht sicher.
Denn .htaccess hat ja nichts mit include() zu tun.kann, dann gre
Grüße
Dennis
Verfasst: 20.07.2004 15:15
von Fundus
warum ist die config.php eigentlich nicht in dem "includes" oder "db" -Ordner? -unabhängig ob das was bringt (würde IMO den Schutz durch .htaccess erleichtern) aber rein von meiner Logik her würde ich diese Daten dort unterbringen
Verfasst: 24.07.2004 16:55
von PhilippK
Die Verlagerung der config.php schützt vor allem vor dem Webmaster...
Allerdings hatten wir bei uns selbst den Fall schon mal, dass die PHP-Dateien nicht geparst wurden sondern im Quellcode ausgegeben wurden. Genaue Ursache natürlich nicht mehr nachstellbar - aber es kann wohl passieren.
Gruß, Philipp
Verfasst: 10.08.2004 13:37
von MerlinderZauberer
Hallo zusammen,
erstmal habe ich mit erschrecken die ganzen Posts gesichtet. Mein erster Schritt wird wohl sein, die config-Datei ausserhalb meiner Domain zu plazieren. Mein Admin-Verzeichnis habe ich zwischenzeitlich gesichert. Würde ich ein anderen User als den des Admin benutzen, beständ trotzdem die Möglichkeit, das Passwort zu finden. Dann ist man doch der Gefahr genauso ausgesetzt, das Posts gelöscht bzw. geändert werden. Oder nicht?
Das Adminverzeichnis ist gesichert und unzugänglich.
Jetzt meine weitere Frage! Auf phpbb.de gibt es einige Interessante Mods, die ich auf meiner Seite eingerichtet habe (Etwa 15), und mir meine Arbeit sehr erleichtern!
Sind diese nicht auch ein potenzielles Risiko, indem man einfach die Variabel Passwort und Datenbankuser unbemerkt im Netz versendet? Auch Lokal merkt der User nichts davon, da durch das "@" Fehler unterdrückt werden.
Gibt es ein Verfahren, sich for solchen Dingen zu schützen bzw. vorher auf Sicherheitsmängel zu durchsuchen?
Gruß MerlinderZauber
Verfasst: 12.08.2004 14:59
von MerlinderZauberer
Ich teste die Mods alle als erstes Lokal auf meinem Rechner. Dabei bin ich auf die Idee gekommen, mit meinem HTML Editor alle "@" Zeichen zu entfernen. Dann wurden die Mods bis in den letzten Winkel geprüft.
Würde jetzt ein Versuch stattfinden, eine andere Datenbank ohne meines Wissens zu öffnen, oder eine E-Mail zu versenden, bekäme ich eine Fehlermeldung!
Eine absolute Sicherheit gibt es nie, aber man kann zumindest einen Teil ausschliessen.
Gruß MerlinderZauber