Includes im root? Sicherheitsrisiko?

[Stephan Hoesch]

Sollten die includes aus Sicherheitsgruenden eigentlich nicht ausserhalb des Document-Root liegen? Also ich bin kein Sicherheitsexperte...mir kommt das nur irgendwie komisch vor. Installiert man phplib einzelnd, so werden die Includes aus diesem Grund neben das Document-Root gelegt.
Okay man kann die Zugriffsberechtigungen fuer den contenido Ordner setzen...aber ist das genauso sicher?
Aber wie gesagt...ich bin kein Sicherheitsexperte.....vielleicht einer von Euch?

[timo]

nein, wieso sollte das ein sicherheitsproblem sein?

[Stephan Hoesch]

....nach dem letzten Post bist Du für die nächste Zeit eh mein Gott.
Mir ging das einfach durch den Kopf. Ich habe vor einiger Zeit mit phplib herumgespielt (bevor ich zu Contenido fand). Und da wird das ganz eindeutig gesagt.
Ich zitiere von der Site http://123.koehntopp.de/kris/artikel/phplib-deutsch/ :
"Die Dateien im Verzeichnis php werden von PHP3 zur Laufzeit mittels include()- oder require()-Anweisungen eingebunden. Man sollte sie daher in ein Verzeichnis neben der Document-Root seines Webservers kopieren und den include_path seines PHP3-Interpreters darauf zeigen lassen. Auf keinen Fall sollten sich diese Dateien in irgendeinem Verzeichnis unterhalb des Document-Root Verzeichnisses des Webservers befinden, andernfalls kann es zu schweren Sicherheitsproblemen kommen. "

Ok die Beschreibung ist noch fürs "alte" phplib...aber da kann sich doch eigentlich nix geändert haben?

[chobbert]

Ein Sicherheitproblem könnte darin bestehen, daß die config.php mit dem Datenbank-Passwort im htdocs-Verzeichnis steht. Würde PHP einmal ausfallen oder die Server-Konfiguration dahingehend geändert, daß *.php Files nicht geparst werden, so könnte der User den Quellcode im Browser angezeigt bekommen.

Stellt sich die Frage, ob es wirklich zu einer solchen Situation kommen kann.


Schöne Grüße

Robert