dedlfix: Bilder außerhalb von HTDOCS ablegen und per fpassthrough per PHP

Beitrag lesen

Hi!

Falls das so, wie ich das jetzt vor habe nicht klappen sollte, ginge das auch zuverlässig und Hacksicher mit .htaccess?

Die Zuverlässigkeit steht und fällt einerseits mit der Integrität der .htaccess (darf nicht geändert, gelöscht oder überschrieben werden können), andererseits mit der grundlegenden Apachekonfiguration. In der kann das Berücksichtigen der komplette .htaccess oder bestimmter Direktivengruppen geregelt werden.

Es gibt abseits einer Apache-Konfigurationsänderung mindestens drei Möglichkeiten, wie eine .htaccess ungewollt beinflusst werden kann.
Jemandem muss gelingen, eine Datei gleichen Namens in das Verzeichnis zu legen. Ein Kopierscript ohne ausreichende Prüfung und/oder Schreibrechte auf der .htaccess genügen.
Jemand editieren den Dateiinhalt, wofür er Shellzugang benötigt oder ein Script missbrauchen kann, das für das Editieren einer anderen Datei vorgesehen ist und überredet werden kann, eine andere Datei zu bearbeiten. Wobei auch hier wieder Schreibrechte benötigt werden.
Jemand löscht die .htaccess, wofür er Schreibrechte im Verzeichnis benötigt, denn Löschen ist eine Schreiboperation in einem Verzeichnis. Die einzelnen Dateirechte interessieren dabei nicht.

Eine nur lesbare .htaccess wäre eine Notlösung. Berechtigungen können normalerweise mit FTP-Clients gesetzt werden.

BTW: Was muss dann in der .htaccess stehen?

deny from all

Das bezieht sich ausschließlich auf die Requests über den Webserver, nicht aber auf Dateisystemzugriffe aus PHP heraus.

Lo!