Schreibrechte für PHP-Skript ein Sicherheitsrisiko?
Hallo,
ich möchte mittels PHP einige Daten (Benutzernamen, E-MAil-Adresse usw.) aus einem Formular in einer Datei speichern und diese Datei auch mit anderen PHP-Skripten auslesen/bearbeiten/beschreiben können. Dazu muss ich dem Verzeichnis, in dem ich diese Datei erstellen möchte (wird auch von dem Skript erledigt) ja gewisse Rechte geben. Ich habe mal ein bisschen herumprobiert und problemlos geklappt hat alles eigentlich nur mit 777.
Nun könnte doch theoretisch jeder Dateinen in meinem Verzeichnis lesen, schreiben und löschen. Das will ich natürlich vermeiden,da es um durchaus sensible Daten geht, die für Spammer interessant sein könnten. Ich habe mal als Minimalschutz die Dateien .dateiname benannt, sodass sie vom Server nicht herausgegeben werden. Doch ich fürchte, dass das das nicht ausreicht.
Kann man diese Verzeichnisse nicht auch noch mit htaccess schützen und die Zugriffe in den Skripten dann mittels skript.php:login@passwort bewerkstelligen? Oder gibt es noch einen anderen Weg/Ansatz, der einfacher/sicherer ist?
Vielen Dank!
Antworten
2.
Hallo Gary,danke für den Hinweis, gibt es wirklich keine andere sichere Methode?
3.
Wie kann denn irgendwer an die Infos (Pfad und Dateiname) kommen ?4.
Naja, sich nur darauf zu verlassen, dass der Pfad unbekannt ist, ist doch etwas leichtsinnig, oder?PHP wird doch eigentlich vom Server - also lokal - ausgeführt. Kann man einer Datei nicht die Rechte so geben, dass sie nur vom lokalenSystem verändert/gelesen werden dürfen?
5.
Die Rechte 0777 gelten sowieso nur für das lokale System.6.
Achso, ich danke Euch für die Antworten auf meine Fragen!Viele Grüße
arx.db