Hi,

Die Konfiguration bietet eine Reihe Krücken, um dieses Problem zu umgehen, schau doch mal in die Anleitung: http://www.php.net/manual/de/configuration.php (safe_mode, doc_root, open_basedir). Es gibt dort, man höre und staune, sogar ein richtiges Kapitel zum Thema Sicherheit: http://www.php.net/manual/de/security.php.

safe_mode, doc_root und co helfen nichts gegen das Lesen auf Filesystem-Ebene.

Das einzige hilfreiche ist, das PHP als CGI laufen zu lassen, denn dann kann man mit suxec die PHP-Files allein fuer den Owner lesbar machen, anstelle fuer global.

Aber PHP als CGI laufen zu lassen, waere ja ein Sakrelik :)

Das Problem der Leute, auf die in der c't eingegangen wurde, war wohl hauptsächlich, daß sie die PHP-Anleitung nicht gelesen haben..

Du aber auch nicht.
In der Doku von PHP steht genau zu dem Punkt, dass nur PHP ueber CGI in den Faellen bzgl Filesystem-Lesen hilft.

Das Problem der PHP-Coder ist, dass sie noch immer
von Einzeluser-Systemen ausgehen. Deswegen kennen die einfach nicht das Problem bzw. es gibt keinen Druck da was zu machen.

Ciao,
 Wolfgang