Om nah hoo pez nyeetz, JPL!

hm, also was bedeutet das denn nun konkret?
Was könnte jemand machen, der direkten Zugriff auf den Ordner hat und die Dateien direkt anschauen kann?

Dein Passwort für deine Datenbank lesen.

Wenn ich die im Browser ausführe, sieht man ja nur immer das Resultat und abgesehen von der Endung der Seite würde man ja gar nicht wissen, daß dahinter ein PHP-Script steckt...

Dein Server liefert für http://www.jochen-lipps.de/amiga/software/config.php einen Status 200. Also weiß ein Angreifer, dass es diese Seite gibt. Hingegen kommt für http://www.jochen-lipps.de/amiga/software/config-x.php ein 404 zurück.

Wenn jetzt aufgrund irgendeines dummen Zufalls der Webserver falsch konfiguriert ist, zum Beispiel weil das jemand ohne ausreichend Ahnung getan hat, liefert der Webserver den Text des php-Skriptes aus. Und in diesem steht möglicherweise dein Datenbankpasswort.

Matthias

--
Der Unterschied zwischen Java und JavaScript ist größer als der zwischen NOS und Nostalgie.