Script gegen Direkten Aufruf schützen. - Seite 2

10.10.2006, 17:26

jop danke für den tipp.
aber da frag ich mich doch warum?!

Der_Gerhard · 10.10.2006, 17:31

Warum?
Weil nicht jeder wissen muss, welche Dateien Du da auf Deinem Server liegen hast.
Typischerweise werden ja z.B. auch Konfigurationen per include eingebunden. Da könnte sowas wie das Passwort für den DB-Zugang drinstehen und andere nette Dinge.

Wenn mal jemand rauskriegt, dass z.B. irgendein anderes Script von Dir dazu gebracht werden kann, eine beliebige Datei auszugeben, könnte man dem ja dann den Namen einer der "geschützten" Dateien unterschieben.

Sollte mal aus irgendeinem Grund der Apache falsch konfiguriert sein und PHP-Dateien nicht zu parsen sondern direkt auszuliefern, so hat jeder den Quelltext in der Hand. Mit Verzeichnisschutz durch .htaccess würde das nicht passieren.

Dafür braucht man zwar Schwachstellen und/oder Konfigurationsfehler, aber man muss ja nicht alles offen rumliegen lassen. Fehler kann man nie ausschließen.

10.10.2006, 17:35

ui ja super danke.
meine scripts sind aber gegen includierung voon unerwünschtem gut geschützt

ich mach das trotzdem mal wegen den andren gründen. danke

Canni · 10.10.2006, 18:12

Zitat:

Damit schützt Du die Datei ja nicht wirklich vor dem Aufruf, sondern Du reagierst bei einem direkten Aufruf einfach nur anders. Naja, egal.

*grmpf* jo, jetzt wo du es sagst....

Der_Gerhard · 10.10.2006, 19:07

Zitat:

Zitat von Canni

Zitat:

Damit schützt Du die Datei ja nicht wirklich vor dem Aufruf, sondern Du reagierst bei einem direkten Aufruf einfach nur anders. Naja, egal.

*grmpf* jo, jetzt wo du es sagst....

Eigentlich hab ich nicht dich gemeint. Aber auf Deinen Code passt es auch.

CC84 · 10.10.2006, 19:36

bei mir liegen alle zu includenden Dateien nicht in public_html damit sind sie von extern einfach nicht zu erreichen.

11.10.2006, 00:15

so hab ichs jetzt gelößt - funktioniert auch prima:

PHP-Code:

  <?php

if($_SERVER["REQUEST_URI"] == $_SERVER['PHP_SELF']){

die("direktaufruf nicht erlaubt!");

}else{

//anderer code...

}

?>

edit: danke nochmal

nikosch · 11.10.2006, 00:35

wenn ich mich nicht irre wird $SERVER[REQUEST_URI] vom Client übermittelt und kann deshalb einfach auf PHP_SELF gesetzt werden. Damit ist deine Lösung nur so lange sicher, wie sie keiner kennt...

Der_Gerhard · 11.10.2006, 00:47

Ähm... natürlich wird vom Client übertragen, welche Datei er haben will.
Aber das ist dann ja auch immer genau die Datei, die ausgeführt wird.

Wie soll man da was faken können?

12.10.2006, 12:41

mir is aufgefallen, dass

PHP-Code:

  <?php

if($_SERVER["REQUEST_URI"] == $_SERVER['PHP_SELF']){

die("direktaufruf nicht erlaubt!");

}

?>

also ohne else eigentlich noch schöner ist.
das wars dann jetzt aber wirklich. es sei denn ich hab nachher noch ne einzeilige alternative

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
phpBB Loginscript in eigenes Login Script einbinden	2wuck	PHP Tipps 2007	4	19.12.2005 23:10
[Erledigt] kurze frage zu screen in einem shell script		Server, Hosting und Workstations	4	16.12.2005 21:22
[Erledigt] php script und ixed		PHP Tipps 2005-2	14	12.10.2005 13:34
Login Script...		Beitragsarchiv	1	16.08.2005 02:21
Kann mir jemand bei dem Script hier helfen?	nicobischof	PHP Tipps 2005-2	4	09.08.2005 20:15
[Erledigt] Verzögerung durch included Script? Umgehen?		PHP Tipps 2005-2	4	10.07.2005 19:26
[Erledigt] Relay Script		PHP-Fortgeschrittene	11	01.06.2005 16:02
[Erledigt] Hilfe bei Download Verwaltungs Script		PHP Tipps 2005	8	04.05.2005 10:29
Fehler bei Script, welches Ordner erstellt	PsychoEagle	PHP Tipps 2005	3	23.04.2005 16:03
Ganze Objekte an Script weitergeben	dreamingof8a	PHP Tipps 2004-2	6	23.11.2004 12:17
python script mit php aufrufen...		PHP-Fortgeschrittene	1	17.11.2004 17:11
Abbruch bei Aufruf von ImageFunktion		PHP-Fortgeschrittene	27	07.11.2004 21:43
PHP Script aus PHP aufrufen	Stümper	PHP Tipps 2004	5	26.09.2004 08:15
"das" Script oder "der" Script??	Simbo	Off-Topic Diskussionen	31	16.09.2004 17:04

10.10.2006, 17:26
Gast Beiträge: n/a	jop danke für den tipp. aber da frag ich mich doch warum?!


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

10.10.2006, 17:31
Der_Gerhard Erfahrener Benutzer Registriert seit: 08.11.2004 Beiträge: 2.079	Warum? Weil nicht jeder wissen muss, welche Dateien Du da auf Deinem Server liegen hast. Typischerweise werden ja z.B. auch Konfigurationen per include eingebunden. Da könnte sowas wie das Passwort für den DB-Zugang drinstehen und andere nette Dinge. Wenn mal jemand rauskriegt, dass z.B. irgendein anderes Script von Dir dazu gebracht werden kann, eine beliebige Datei auszugeben, könnte man dem ja dann den Namen einer der "geschützten" Dateien unterschieben. Sollte mal aus irgendeinem Grund der Apache falsch konfiguriert sein und PHP-Dateien nicht zu parsen sondern direkt auszuliefern, so hat jeder den Quelltext in der Hand. Mit Verzeichnisschutz durch .htaccess würde das nicht passieren. Dafür braucht man zwar Schwachstellen und/oder Konfigurationsfehler, aber man muss ja nicht alles offen rumliegen lassen. Fehler kann man nie ausschließen. __________________ ******************************** Nein, ich bin nicht die Signatur. Ich putze hier nur. ********************************

10.10.2006, 17:35
Gast Beiträge: n/a	ui ja super danke. meine scripts sind aber gegen includierung voon unerwünschtem gut geschützt ich mach das trotzdem mal wegen den andren gründen. danke

10.10.2006, 19:36
CC84 Erfahrener Benutzer Registriert seit: 03.01.2006 Beiträge: 253	bei mir liegen alle zu includenden Dateien nicht in public_html damit sind sie von extern einfach nicht zu erreichen.

11.10.2006, 00:15
Gast Beiträge: n/a	so hab ichs jetzt gelößt - funktioniert auch prima: PHP-Code: `<?php if($_SERVER["REQUEST_URI"] == $_SERVER['PHP_SELF']){ die("direktaufruf nicht erlaubt!"); }else{ //anderer code... } ?>` edit: danke nochmal

11.10.2006, 00:35
nikosch moderatives Dielektrikum Registriert seit: 21.05.2008 Beiträge: 34.248 PHP-Kenntnisse: Fortgeschritten	wenn ich mich nicht irre wird $SERVER[REQUEST_URI] vom Client übermittelt und kann deshalb einfach auf PHP_SELF gesetzt werden. Damit ist deine Lösung nur so lange sicher, wie sie keiner kennt...

11.10.2006, 00:47
Der_Gerhard Erfahrener Benutzer Registriert seit: 08.11.2004 Beiträge: 2.079	Ähm... natürlich wird vom Client übertragen, welche Datei er haben will. Aber das ist dann ja auch immer genau die Datei, die ausgeführt wird. Wie soll man da was faken können? __________________ ******************************** Nein, ich bin nicht die Signatur. Ich putze hier nur. ********************************

12.10.2006, 12:41
Gast Beiträge: n/a	mir is aufgefallen, dass PHP-Code: `<?php if($_SERVER["REQUEST_URI"] == $_SERVER['PHP_SELF']){ die("direktaufruf nicht erlaubt!"); } ?>` also ohne else eigentlich noch schöner ist. das wars dann jetzt aber wirklich. es sei denn ich hab nachher noch ne einzeilige alternative