Fred Feuerstein: + PHP + halböffentlicher Zugang + Sicherheit

Hallo Zusammen,

auf meinem Webaccount kann ich FTP-User anlegen, und diesen jeweils einen (Unter-)Ordner zuweisen, auf dem sie dann Zugriff haben.

Die Ordner für FTP-User liegen alle im selben Ordner, z.B. /FTP/
Im Ordner /FTP/ liegt eine .htaccess-Datei die das ausführen von PHP-Scripten ab hier unterbindet, indem PHP-Scripte als PlainText angesehen und lediglich angezeigt werden.
Aber jemand mit genügend Ahnung von der Materie könnte ja auch eine eigene .htaccess-Datei in seinen Unterordner laden und das serverseitige Parsen wieder einschalten. Somit könnte er dann auch eigene PHP-Scripte hochladen und ausführen.

Weiß jemand wie man das unterbinden kann? Evtl. mit einer Direktive in der obersten .htaccess-Datei, (in /FTP/), so das tiefere .htaccess-Dateien dies nicht mehr ändern können?

Gruß Fred

  1. Lieber Fred,

    Weiß jemand wie man das unterbinden kann? Evtl. mit einer Direktive in der obersten .htaccess-Datei, (in /FTP/), so das tiefere .htaccess-Dateien dies nicht mehr ändern können?

    wie wäre es, wenn Du niemandem einen FTP-Zugang gewährst?? Du kannst ja via PHP Fileuploads ermöglichen, die Du dann Script-technisch filterst. Damit wäre sicherlich Dein Problem ganz schnell umgangen!

    Wie Du in PHP Deine User-Accounts verwaltest, das ist dann Deine freie Entscheidung. Mechanismen dafür gibt es mehrere.

    Liebe Grüße aus Ellwangen,

    Felix Riesterer.

    1. Lieber Felix,

      wie wäre es, wenn Du niemandem einen FTP-Zugang gewährst?? Du kannst ja via PHP Fileuploads ermöglichen, die Du dann Script-technisch filterst. Damit wäre sicherlich Dein Problem ganz schnell umgangen!

      Hhm, nichts lieber als das, aber ich muß Fileuploads für Bilder mit Dateigrößen von bis zu 40 MB ermöglichen. Die normale Fileupload-Größenbeschränkung sind glaube ich 2MB oder so was, oder per POST max 8MB.

      Trotzdem Danke für den Tipp.
      Grüße, Fred.