Hallo zusammen,

ich habe einige Fragen zu Thema Serversicherheit und würde mich über Eure Erfahrungsberichte und Tipps freuen.

Ich habe ein grösseres Projekt in PHP, dass auch einige "sensiblere" Daten beinhaltet wie Benutzerdaten in einer Datenbank und DB- und Seitenpasswörter und -einstellungen in Config-Dateien.

Wie kann ich diese Daten bestmöglichst schützen? Meine Strategie bisher: Config-Dateien kommen in ein spezielles Verzeichnis gespeichert,welches mit .htaccess geschützt wird. Diese Dateien werden dann includet.
Dieses Verfahren scheint mir relativ sicher zu sein.

Problematischer: Meine Skripte greifen auf einige Verzeichnisse schreibend zu, z.B. in ein Verzeichnis BILDER, in dem dann neue Bilddateien vom Skript angelegt werden. Auf dem Server musste ich dazu CHMOD auf 777 stellen. Das PHP Skript wird weder als "owner", noch als "group" akzeptiert, also musste ich auf "all" setzen.

Meine Befürchtung: damit ist doch dritten prinzipiell ermöglicht, in diesem VZ zu schreiben?! Ein Dritter könnte evtl ein Skript dort zum Ausführen bringen und sensible Daten auslesen.

Testweise habe ich von einem anderen Server mittels "fopen" auf einige Dateien zugegriffen - dies wurde zwar aufgrund der Servereinstellungen meines Hosters verhindert, ABER: ein Profi findet vielleicht einen anderen Weg, zudem könnten ja kurzzeitig einmal die Servereinstellungen ausfallen.

Wisst Ihr vielleicht einen Workaround?

Ich habe mir schon mal überlegt, generell keine Schreibrechte zu vergeben und dann nur wenn sie benötigt werden _kurzzeitig_ vom eigenen Skript einzuschalten. Ist das eine gute Lösung?

Grüsse
Joshua