hi,

Weil man mit FTP Zugang hat, darf die .htaccess auch nicht in dem Verzeichnis liegen. Man könnte sie sonst einfach löschen und munter Scripte hochladen.

Na dann lade ich halt eine .htaccess, die Anweisung gibt, dass Dateien mit der Endung .php durch den PHP-Parser geschickt werden sollen, in eben dieses Upload-Verzeichnis hoch.

Dem könnte man ja noch halbwegs entgegenwirken, in dem man den Namen der Konfigurationsfiles auf höherer Ebene ändert - aber auch das wäre wieder nur Security through obscurity ...

Ich möchte einfach so viel Sicherheit wie möglich.

Dann solltest du dich eher von Konzepten verabschieden, die per se löchrig sind - anstatt diese laienhaft zu fixen zu versuchen.

gruß,
wahsaga