Hi,

Habe ich das behauptet? Und wo steht, daß das überhaupt eine Frage für Sven ist? Er hatte lediglich gefragt, was man dagegen tun kann, daß einzelne Leute per PHP (!) fremde Dateien auslesen. Und genau dagegen ist mit safe_mode & Co. ein Kraut gewachsen.

Stimmt. Wobei man aber deswegen dies andere erwaehnen muss, um die Leute nicht in falscher Sicherheit zu wiegen.
Er schrieb naemlich selbst in der letzten Zeile implizit, dass er CHMOD ausfuehren kann.
Folglich gibt es wohl ein Shell-Zugang.
Und wenn es ein Shell-Zugang gibt, gibt es mehrere und die beschriebene Problematik ist vorhanden.

Warum hab ich das Gefuehl, dass jegliche Sicherheitsprobleme oder
negative Facetten von PHP unterm Tisch gekehrt werden?

Aber PHP als CGI laufen zu lassen, waere ja ein Sakrelik :)

Klasse, dann muß man für jeden Seitenaufruf den PHP-Interpreter starten..

Eben.

Und wenn ich das recht überblicke, sollte man CGI-Sachen doch nur in ein bestimmtes Verzeichnis packen, oder irre ich mich da? In der Modulversion kann man die Seiten wenigstens dahin legen, wo man sie gerne haben möchte.

Da irrst du dich halb.

Man kann den Webserver so einstellen, dass alle Files mit den Dateinamen *.php auf den Interpreter redirected werden. (Steht doch auch so in der Doku!)

Das Problem der Leute, auf die in der c't eingegangen wurde, war wohl hauptsächlich, daß sie die PHP-Anleitung nicht gelesen haben..

In der Doku von PHP steht genau zu dem Punkt, dass nur PHP ueber CGI in den Faellen bzgl Filesystem-Lesen hilft.

Siehe oben, diese Aussage ist hier momentan vollkommen unnötig.

Aussagen zur Sicherheit eines verwendeten Systems oder eine Applikation sind NIEMALS unnoetig.
(Es sei denn, mann arbeitet fuer Microsoft :) )

Ciao,
  Wolfgang