Moin!

Stimmt. Wobei man aber deswegen dies andere erwaehnen muss, um die Leute nicht in falscher Sicherheit zu wiegen.
Er schrieb naemlich selbst in der letzten Zeile implizit, dass er CHMOD ausfuehren kann.
Folglich gibt es wohl ein Shell-Zugang.

Vielleicht meinte er FTP?

Und wenn es ein Shell-Zugang gibt, gibt es mehrere und die beschriebene Problematik ist vorhanden.

Ja, aber was hat das denn jetzt mit PHP zu tun??? Vermutlich hat man z.B. für SSH einen eigenen User, der nur auf die Verzeichnisse des eigenen virtuellen Host zugreifen darf. Zwar kann man hier auch PHP-Scripte ausführen(auch bei der CGI-Version), aber doch dann mit dem aktuellen User des Shell-Zugangs, oder? Warum soll das kritischer sein als ein Script im www zu starten?

Warum hab ich das Gefuehl, dass jegliche Sicherheitsprobleme oder
negative Facetten von PHP unterm Tisch gekehrt werden?

tun Sie gar nicht, siehe CT-Artikel und der vielen Fragen alleine heute hier im Forum. Ich vermute das die meisten PHP - Nutzer/Programmierer davon genau so wenig verstehen wie ich, und mich zumindest interessiert das Thema sehr!

Aber PHP als CGI laufen zu lassen, waere ja ein Sakrelik :)

Klasse, dann muß man für jeden Seitenaufruf den PHP-Interpreter starten..

Eben.

Ist das jetzt ein sicherheitsbedachtes positives "eben", oder eher ein seufzendes performancefessendes "eben"?

Aussagen zur Sicherheit eines verwendeten Systems oder eine Applikation sind NIEMALS unnoetig.

sehe ich auch so.

(Es sei denn, mann arbeitet fuer Microsoft :) )

Sind die Sprüche nicht lamgsam ausgelutscht?

Viele Grüße
Andreas