nicht angemeldet
Zugriff auf Upload-Ordner
Hallo geschätzte Forum-Leser,
Ich habe für meine Seite einen geschützten Editoren-Bereich eingerichtet, wo ich Dateien mittels php-Script in ein Upload-Verzeichnis laden kann. Das funktionert alles schön und gut, nur musste ich die Rechte des Upload-Verzeichnisses auf "777" setzten.
Nun mache ich mir ein wenig Sorgen, wie gross denn dabei das Sicherheitsrisiko ist. Inwieweit kann auf mein Upload-Verzeichniss von Ausserhalb zugegriffen werden? Hat mir hier jemand irgendwelche Sicherheitstipps?
Vielen Dank für alle Hinweise...
-
Hello,
das sind alles Fragen, bei denen man nur mutmaßen kann.
Es hängt von der Art und der Professionalität der Einrichtung des Servers ab und von wievielen Usern der gemeinsam genutzt wird.Wenn PHP als Modul läuft, dann müssen auch open_basedir und safe_mode (oder die wesentlichen Funktionsverbote) gesetzt sein. Außerdem muss ein eigenes Verzeichnis für Sessions eingerichet sein und auch das upload_temp_dir möglichst für jeden User einzeln definiert sein.
Anderenfalls käme ich als Mitnutzer Deines Servers immer an Deine Daten - wetten?
Harzliche Grüße aus http://www.annerschbarrich.de
Tom
--
Fortschritt entsteht nur durch die Auseinandersetzung der Kreativen
Nur selber lernen macht schlau -
Hallo Marius,
Inwieweit kann auf mein Upload-Verzeichniss von Ausserhalb zugegriffen werden?
Solange keiner die URL kennt, wird es höchst unwahrscheinlich, dass jemand darauf zugreift. Da du vermutlich diese nur im PHP-Script angibst, kommt da eher weniger jemand drauf
Hat mir hier jemand irgendwelche Sicherheitstipps?
Falls doch, kannst du den Ordner per .htaccess schützen. Dann kann zumindest per HTTP niemand mehr darauf zugreifen.
Gegen Angriffte von Seiten des eigenen Servers kann ich dir allerdings kein Rezept verraten.
Mit freundlichen Grüßen, Lucas
--
selfcode: sh:( fo:| ch:? rl:° br:& n4:° ie:| va:| de:< zu:) fl:| ss:) ls:< js:|