nicht angemeldet
Dateien von externen URLs einlesen ? (!)
Hallo,
kann man mittels PHP Dateien auf irgendwelchen Servern auslesen (z.B. www.irgendwas.de/nachricht/index.php)? wenn ja, wie kann man sich dagegen schützen?
Nicht, dass man die Dateien öffnen und den Inhalt einsehen kann...
Tschau.
-
Hallo daChris,
kann man mittels PHP Dateien auf irgendwelchen Servern auslesen (z.B. www.irgendwas.de/nachricht/index.php)?
Kommt darauf an. PHP kann als HTTP-Client fungieren und genauso wie ein Webbrowser eine Resource http://www.irgendwas.de/nachricht/index.php herunterladen. Die PHP-Datei kann PHP auf einem anderen nur dann bekommen, wenn der Browser die PHP-Datei ungeparst auch bekommen würde.
Viele Grüße,
Christian-
Ja und wie siehts mit include/require aus?
-
Hallo,
Ja und wie siehts mit include/require aus?
Du scheinst mein Posting nicht verstanden zu haben: Wenn Du PHP als HTTP-Client fungieren lässt, versetzt Du PHP in die Lage eines Browsers: es kann nicht mehr und auch nicht weniger, was den Informationsabruf über HTTP angeht. Dabei ist es egal, ob Du include, require, readfile, fopen, file oder sonstwas nimmst.
Viele Grüße,
Christian
-
-
Hallo,
Kommt darauf an. PHP kann als HTTP-Client fungieren und genauso wie ein Webbrowser eine Resource http://www.irgendwas.de/nachricht/index.php herunterladen. Die PHP-Datei kann PHP auf einem anderen nur dann bekommen, wenn der Browser die PHP-Datei ungeparst auch bekommen würde.
hm...
wenn ich mich nun zu einer Datenbank (MySQL) verbinde, wird doch Passwort, Benutzername usw. in die jeweilige PHP-Funktion eingetragen, könnte man da irgendwie ran kommen?
Wäre schlimm wenn ja...wenn ich jetzt z.B. in einer PHP-Datei Administrator-Passwörter/Name speichere, kann sie jemand auslesen?
Tschau.
-
Hallo,
wenn ich mich nun zu einer Datenbank (MySQL) verbinde, wird doch Passwort, Benutzername usw. in die jeweilige PHP-Funktion eingetragen, könnte man da irgendwie ran kommen?
Also nochmal von vorne: Du hast einen Server A, auf dem sind PHP-Scripte, und einen Server B, auf dem sind auch PHP-Scripte. In den PHP-Scripten von Server B stehen sensible Daten. Wenn Du die URL, unter denen diese PHP-Scripte zur Verfügung stehen, vom Browser aus aufrufst, werden diese Scripte ausgeführt und Du erhälst HTML-Code (oder eine Graphikdatei oder was Dein PHP-Script halt erzeugt), der an den Browser wandert. Wenn Du nun mit PHP vom Server A über HTTP die Resource eines PHP-Scripts vom Server B abrufst, dann erhälst Du genauso HTML-Code (oder eine Graphikdatei oder was Dein PHP-Script halt erzeugt) wie der Browser.
wenn ich jetzt z.B. in einer PHP-Datei Administrator-Passwörter/Name speichere, kann sie jemand auslesen?
Von einem fremden Server über HTTP: nein. Vom gleichen Server: unter Umständen. Von einem fremden Server über ein anderes Protokoll: unter Umständen.
Christian
-
Hallo,
ich dachte je nur, dass man mittels fopen möglicherweise die Datei lesen kann und irgendwo anders (vielleicht auf den lokalen Speicher) wiedergeben/speichern kann... quasi Dateien kopieren...
Bloß gut dass dat net geht...
Danke.
Tschau.
-
Hallo,
ich dachte je nur, dass man mittels fopen möglicherweise die Datei lesen kann und irgendwo anders (vielleicht auf den lokalen Speicher) wiedergeben/speichern kann... quasi Dateien kopieren...
Glaub mir, wenn das gehen würde,würde nIEMAND mehr PHP verwenden und sicher keine sensiblen Daten (die normalerweisesowieso in eine Datenbank gehören) speichern.
und wenn man mit PHP nicht mal etwas in übergeordnete Dateien schreiben kann geht das per HTTP erst recht nicht.
Versuch mal ein script vom gleichen Server über http://deinserver.de/meinvertzeichnis/scriptxy.php einzubinden.
Selbst das geht nicht, auch wenn das Script im gleichen Verzeichnis auf dem gleichen Server liegt und du eben über den relativen Pfad drauf zugreifen möchtest.Mit freundlichen Grüßen.
(Mein Name tut in diesem Forum nichts zur Sache)
-
-
-
N'Obend
wenn ich jetzt z.B. in einer PHP-Datei Administrator-Passwörter/Name speichere, kann sie jemand auslesen?
Es gibt 2 Möglichkeiten an in den PHP-Dateinen stehende Passwörter etc. heranzukommen:
-
Ich habe Zugriff über FTP - dann ist eh alles zu spät
-
Der PHP-Parser fällt aus und der Server schickt die PHP-Dateien direkt raus.
-
ist wie gesagt sowieso SuperGAU, also für diesen Fall wurscht.
-
lässt sich absichern, indem man Passwörter, Benutzername & Co in einer extra Datei unterbringt und außerhalb des Webverzeichnisses speichert. Viele Hoster bieten z.B. neben dem "html"-Verzeichnis (welches dann vom Internet aus aufrufbar ist) noch ein "files"-Verzeichnis. Da kommt man von außen nicht ran, egal was für Spirenzle der PHP-Parser macht. Die Passwort-Datei kannst du dann z.B. vor jeder Datenbank-Session "includen".
Tschö,
dbenzhuser-
Hallo,
danke, schönen Sonntag noch...
Tschau.
-
-
-