[HaBo] - Einzelnen Beitrag anzeigen

keksinat0r · 28.03.07, 00:51

Inwiefern man unter Windows Benutzer zB in Verzeichnisse "ensperren" kann weis ich nicht, allerdings kannst du PHP-Scripte auf bestimmte Verzeichnisse einschränken.

Die wichtigsten Funktionen hierfür sind:
open_basedir und disable_functions

mit open_basedir legst du fest wo PHP-Scripte ausgeführt werden dürfen, idR ist dies das Site_Root, also zB C:\website\user1\ so können Scripte in diesem Verzeichnis User1 nur in eben diesem Verzeichnis arbeiten und auf nichts außerhalb des Verzeichnisses zugreifen (abgesehen von dem Bug).
Allerdings benötigt PHP auch seine lib's (Programm Bibliotheken).
Wo die bei XAMPP (ich denke mal du benutzt dies) abgelegt sind weis ich nicht, aber Google dafür bestimmt.
Also musst du zusätzlich noch dieses Verzeichniss freigeben.
also zum Beispiel:

open_basedir = C:\webserver\user1\;lib-Verzeichnis\

zu beachten sind die \ am Ende, somit hat der User nur Zugriff auf Ordner Dateien innerhalb dieses Ordners, nicht aber auf den Ordner selbst...

ähnlich verhällt es sich mit cgi_exec_dir, nur eben für CGI-Scripte -> Google

mit disable_functions kannst du bestimmte PHP-Funktionen Deaktivieren, sodass selbst wenn jemand in deinen PHP-Scripten eine Lücke findet durch die er Scripte auf dem Server ausführen könnte nicht allzu großen Schaden anrichten kann...
ich hab auf meinem Webserver zb folgende Einstellung:

disable_functions = symlink,debug_backtrace,pfsockopen,proc_open,proc_ nice,proc_terminate,proc_close,proc_get_status,she ll_exec,exec,passthru,system,popen,highlight_file, diskfreespace,disk_free_space,disk_total_space,sho w_source,php_uname,ini_alter,ini_restore,ini_set,g etrusage,get_current_user,set_time_limit,getmyuid, getmypid,dl,leak

Das allerdings muss jeder für sich selbst entscheiden welche Funktionen hier deaktiviert werden...

session.save_path, upload_tmp_dir und sind idR nur für den Multi-Userbetrieb wichtig.

register_globals, magic_quotes_gpc und co sind in PHP5 standartmäßig schon deaktiviert und das sollte möglichst auch so bleiben

schau dir am besten mal die Einstellugnen von Funpic an:
http://phpinfo.funpic.de
Und schau nach was die so eingestellt haben.
phpinfo.* ist übrigens eine bereits mehr oder weniger zum Standard gewordene Subdomain um eben diese Informationen zu bekommen, sollte also auch bei diversen anderen Hosts funktionieren

--

Dann muss ich nochmals sagen, studier wirklich die Configs und lern PHP, CGI und den Apache mit allem drum und dran erst mal richtig kennen um eines Tages keine bösen Überraschungen zu bekommen...
Vor kurzem bekam ich auf meinem Server eine Hackerattacke ab... ~125MB Logfile ist daraus geworden, mehr aber nicht, da mein Server entsprechend abgesichert ist

PS: ich sollte so spät keine Beiträge im HaBo mehr schreiben... ich muss alle meine Posts mindestens 3 mal wegen Schreibfehlern editieren...

28.03.07, 00:51	#14 (permalink)
keksinat0r Registriert seit: 06.01.07 Likes: 0	Inwiefern man unter Windows Benutzer zB in Verzeichnisse "ensperren" kann weis ich nicht, allerdings kannst du PHP-Scripte auf bestimmte Verzeichnisse einschränken. Die wichtigsten Funktionen hierfür sind: open_basedir und disable_functions mit open_basedir legst du fest wo PHP-Scripte ausgeführt werden dürfen, idR ist dies das Site_Root, also zB C:\website\user1\ so können Scripte in diesem Verzeichnis User1 nur in eben diesem Verzeichnis arbeiten und auf nichts außerhalb des Verzeichnisses zugreifen (abgesehen von dem Bug). Allerdings benötigt PHP auch seine lib's (Programm Bibliotheken). Wo die bei XAMPP (ich denke mal du benutzt dies) abgelegt sind weis ich nicht, aber Google dafür bestimmt. Also musst du zusätzlich noch dieses Verzeichniss freigeben. also zum Beispiel: open_basedir = C:\webserver\user1\;lib-Verzeichnis\ zu beachten sind die \ am Ende, somit hat der User nur Zugriff auf Ordner Dateien innerhalb dieses Ordners, nicht aber auf den Ordner selbst... ähnlich verhällt es sich mit cgi_exec_dir, nur eben für CGI-Scripte -> Google mit disable_functions kannst du bestimmte PHP-Funktionen Deaktivieren, sodass selbst wenn jemand in deinen PHP-Scripten eine Lücke findet durch die er Scripte auf dem Server ausführen könnte nicht allzu großen Schaden anrichten kann... ich hab auf meinem Webserver zb folgende Einstellung: disable_functions = symlink,debug_backtrace,pfsockopen,proc_open,proc_ nice,proc_terminate,proc_close,proc_get_status,she ll_exec,exec,passthru,system,popen,highlight_file, diskfreespace,disk_free_space,disk_total_space,sho w_source,php_uname,ini_alter,ini_restore,ini_set,g etrusage,get_current_user,set_time_limit,getmyuid, getmypid,dl,leak Das allerdings muss jeder für sich selbst entscheiden welche Funktionen hier deaktiviert werden... session.save_path, upload_tmp_dir und sind idR nur für den Multi-Userbetrieb wichtig. register_globals, magic_quotes_gpc und co sind in PHP5 standartmäßig schon deaktiviert und das sollte möglichst auch so bleiben schau dir am besten mal die Einstellugnen von Funpic an: http://phpinfo.funpic.de Und schau nach was die so eingestellt haben. phpinfo. ist übrigens eine bereits mehr oder weniger zum Standard gewordene Subdomain um eben diese Informationen zu bekommen, sollte also auch bei diversen anderen Hosts funktionieren* -- Dann muss ich nochmals sagen, studier wirklich die Configs und lern PHP, CGI und den Apache mit allem drum und dran erst mal richtig kennen um eines Tages keine bösen Überraschungen zu bekommen... Vor kurzem bekam ich auf meinem Server eine Hackerattacke ab... ~125MB Logfile ist daraus geworden, mehr aber nicht, da mein Server entsprechend abgesichert ist PS: ich sollte so spät keine Beiträge im HaBo mehr schreiben... ich muss alle meine Posts mindestens 3 mal wegen Schreibfehlern editieren...