Hallo Felix,

Aber dieser PROPFIND ist mir nicht geheuer.

Das HTTP-Verb PROPFIND entstammt der HTTP Erweiterung WebDAV und wird dort genutzt, um Informationen über WebDAV-Ressourcen herauszustellen. Da man sich WebDAV gut als über HTTP benutzbares Dateisystem vorstellen kann, wäre ls (1) eine Analogie zu PROPFIND.

Erste Google-Treffer suggerieren, dass das Teil anscheinend mit einem Subversion-System zu tun hat. Sowas gibt es auf unserer Schulwebsite natürlich nicht...

Subversion hat eine Möglichkeit, das Repository über WebDAV und damit übers Web Klienten zur Verfügung zu stellen. Dabei erweitert SVN die Erweiterung WebDAV noch ein weiteres Mal.

Muss ich mir nun ernste Gedanken über Angriffe machen?

Alles ist ein potentieller Angriff. ;)

Sieh es mal so: Es ist sehr viel einfacher, einfach alle unbekannten HTTP-Verben mit HTTP 405 zu beantworten, anstatt sich um jeden einzelnen Request zu kümmern. Was der Bauer nicht versteht, frisst er dann einfach nicht. Ansonsten landet man in einem sich ständig erweiternden Irrenhaus. Und irgendwann kommt dann ein Spaßvogel (= Ich) vorbei und sendet diesen Request:

KAFFEETRINKEN /html/kontakt/gaestebuch/ HTTP/1.1
  Host: www.peutinger-gymnasium.de

Dein Gästebuch antwortet darauf wie auf einen GET. Du könntest das nun so lassen, weil GET die Normal-Antwort ist. Oder aber Du könntest nur noch auf GET & POST (und HEAD und OPTIONS) reagieren und das entweder im PHP-Code überprüfen oder die an Dein Skript weitergeleiteten HTTP-Anfragen mittels Apaches <Limit(Except)> limitieren. Hauptsache, Du kriegst den Kopf frei für die wild im Netz rumfliegenden Anfragen, die tatsächlich zu einer möglicherweise ungewollten Änderungen auf dem Server führen können, sprich POST bei Dir (und GET & Konsorten, wenn da ein Problem im Skript sein sollte).

Tim