Hi,

Auf meinem Server soll ein Script liegen, das von einem anderen Server aufgerufen wird. Dies ist offensichtlich mit include möglich, allerdings ist mir nicht bekannt/ bewusst ob es andere Sicherheitsprobleme als bei Get- oder Post-Requests gibt.

Nun, so ganz spontan stellen sich da bei mir erstmal sämtliche Haare senkrecht ;-)

Tust Du das über das öffentliche Netz sogar zu recht. Das es überhaupt geht wäre also PHP anzulasten und ein Sicherheitsloch.
Halt, doch nicht gleich hauen! Ich korrigiere: es wäre eine recht einfache Möglichkeit sich selber in den Fuß zu schießen.

Aber ich gehe einfach mal davon aus, das Du das entweder über SSL und mit Schlüsseln erledigst, die so lang wie möglich sind oder über ein privates Netz im Rack.

Ich sollte es mir zwar abgewöhnen, die Frage nach dem Sinn zu stellen, kann es aber nicht: worin liegen die Vorteile, Scriptlistings von anderen Servern zu nutzen, statt einer lokalen Kopie?

Für ein einziges Script, das Inhalt ausgibt ist dies ja schön und gut aber wie sieht es mit komplexen Anwendungen aus, die ja nicht aus einem sondern zahlreichen Scriptdateien bestehen.

Das spielt in diesem Fall keine Rolle.

Z.B. ein Gästebuch, das auf Inhalte meiner Datenbank zugreift. Reicht es, wenn ich sämtlichen Include-Anweisungen die komplette URL gebe? Kommt jemand so böswillig an die Scripte oder z.B. ans Datenbankpasswort selbst dran?

Je nach Art und Weise der Verbindung: klar, kein Problem, kann einfach abgefangen werden.
Aber auch hier wieder: warum möchtest Du da andere Listings includen statt gleich eine lokale Kopie zu nutzen?

Gibt es andere Lösungen für ein White-Label-Konzept, z.B. dass sämtliche Scripte auch von meinem Interpreter ausgeführt werden, d.h. auf meinem Server laufen und lediglich die HTML-Ausgabe in die Fremdpage eingfügt werden? Dazu gehören auch Eingabeformulare und Bestätigungsseiten, also sämtliches HTML.

Die von mir nun zum dritten Mal angefragte lokale Kopie?
Was, um Gottes Willen, hält Dich davon ab?

so short

Christoph Zurnieden