kannst du bitte aufhören, mir dinge in den mund zu legen, die ich nie gesagt habe?
ich habe nirgendwo gesagt, man muss immer eine .ini verwenden.

Wieso antwortest du dann auf meinem Post, in dem ich lediglich gesagt habe, dass ini-Dateien ein Sicherheitsloch darstellen können?
Damit hast du mir, wenn du keinen Bezug zu hottis Post hast, unterstellt, ich würde keine Konfigurationsdateien nutzen, was ich aber nie gesagt habe.

(im übrigen redete er von konfigurationsdateien.
ist das so in der PHP-welt, dass man da immer gleich an .ini denkt?

Zitat von hotti:

Passworte, Credentials u. dgl. gehören in Konfigurationsdateien, z.B. eine ini.

Liest du eigentlich die Beiträge auch? Ich habe diesen text exakt zitert und darauf geantwortet. Wenn du jetzt damit kommst, dass davon nie die Rede war, muss ich dich echt fragen ob du lesen kannst.

ich sage nur: wenn die sorge davor, dass eine config-datei über den webserver auslesbar sein könnte, der grund ist, auf configs zu verzichten bzw. davor zu warnen, dann hast du mein mitleid.

Ich sprach von einer .ini-Datei (nur falls du es immer noch nicht verstanden hast, worum es in diesem Zweig geht) und der _kann_ als Text ausgeliefert werden, wenn der Server nicht passend konfiguriert ist.
Wenn bei dir solche Bedenken Mitleid verursachen, bist du schlichtweg ein programiertechnischer Tiefflieger, denn dir ist Sicherheit völlig egal.

Was hast du denn gefrühstückt? Ich nehme überhaupt kein Sicherheitsloch in Kauf.

Nicht? Dann ist vermutlich deine Schreibe gar nicht von dir?

Und das das auch *mit* vielen Sicherheitslücken *nicht* klappt, beweisen leider auch sehr viele Programmierer. Die meisten Sicherheitslücken, dir mir so begegnen, sind aber sql-injections und XSS.

Dein eigener Code?

für dich gibt es offenbar nur schwarz und weiss. alle in einen topf werfen, die dir irgendwas entgegnen.

Ich sehe nur bei dir schwarz, denn deine Aussagen sind mehr als grenzwertig.

aha, ich bin also jemand, der aus prinzip ein Sicherheitsloch zulässt. Das schliesst du aus meinen Aussagen in diesem Thread.

Ja

Ganz ehrlich, ich würde auch nie was von dir "machen lassen".
Ernsthafte Dinge hostet man nicht auf Billig-Servern, in denen alles im doc root liegen muss.

Aha. Wenn also dein Kunde sagt, er hat einen Server, weigerst du dich, für ihn zu arbeiten, wenn der Server/Webspace nicht deinen Vorstellungen entspricht? Ja, das zeigt nochmal, welche Arbeit du lieferst. Ein guter Programmierer passt sich, soweit möglich, den gegebenheiten an und nicht die gegebenheiten müssen sich dem Programmierer anpassen.

Falls man sich aus irgendeinem Grund mal mit solchen Begebenheiten rumschlagen muss, tut man das, was in der Situation notwendig ist.

Aha, jetzt wirfst du deine gesamten Ausagen von vorher über den haufen? Sehr konsequent.

Ich halte nichts davon, zu generalisieren. Weil ein Skript laut deiner Aussage ohne jegliche Änderung auf allen erdenklichen Servern laufen sollte, sollte man auf Configs verzichten, weil die Möglichkeit besteht, dass es Server gibt, auf denen configs über HTTP auslesbar sind.

Wer, ausser dir, redet eigentlich davon, auf Configs zu verzichten?