phpBB.de

Ist das normal, daß config.php mode 644 hat? Jeder soll das Datenbankpaßwort lesen können?

Ich sehe zwar, daß ein .htaccess da ist, das um config.php und common.php ein Deckmäntelchen mit Deny from All drüberlegt, aber lokale Sicherheit ist doch auch wichtig, oder?

wenn jemand lokal Zugriff auf den Webserver hat, dann kann er auch ganz andere Sachen damit machen.

Lesen muss sie schon der WebServer können..... und der wird normalerweise nicht als "Root" laufen, sondern nur als "normaler User".

Auf einem (Standard-)Apache, der die .htaccess verarbeitet, kann man die config.php auf keinen Fall vom Web aus lesen. Auch wenn PHP nicht registriert ist.
Wenn jemand Zugriff auf den Server und deinen Webspace-Ordner hat, kann er die config.php natürlich lesen (wie z.B. der Webserverbenutzer). Ob du das world-read ohne Probleme entfernen kannst, hängt von der Konfiguration des Webservers ab (bei CGI wird es wohl möglich sein). Kontaktiere bei weiteren Fragen deinen Provider.