Hallo!

Ich habe folgendes Problem...

Meine MySQL-Zugangsdaten (und weitere sensible Werte) liegen in einem Verzeichnis ausserhalb des Document-Roots (sind also nicht über das WWW erreichbar).

Allerdings haben meine User die Möglichkeit eigene Homepages hochzuladen. Ich denke hierbei an den Bericht der c't, daß man per PHP die Verzeichnisstruktur und deren Inhalt auslesen kann.

In diesem Falle könnte ein böswilliger User einfach das oben genannte Script includen und so auf meine DB zugreifen oder anderen Unfug anstellen.

Die einfachste Möglichkeit wäre das Hochladen von PHP-Scripts (bzw. das nachträgliche Umbenennen nach .php) einfach zu unterbinden, aber dazu habe ich mich noch nicht durchgerungen.

Gibt es eine andere Möglichkeit sensible Scripts zu schützen (z.B. per chmod, oder per .htaccess?)

Danke und Grüsse
Sven Mayer