• Das Erstellen neuer Accounts wurde ausgesetzt. Bei berechtigtem Interesse bitte Kontaktaufnahme über die üblichen Wege. Beste Grüße der Admin

config datei verstecken?

T

TurboLarsen

Guest
Hi!

ich hab ein php gästebuch mit msql unterstützung. läuft super. hab nur ein problem. in dem selben ordner wo die seiten liegen liegt auch eine config in der mein mysql pw steht. in der readme steht ich solle die in den root ordner schieben. da komm ich ja aber nicht ran - hab ja space vom anbieter gemietet. wie kann ich diese datei sicher machen? oder brauch ich das garnicht weil mann sowieso nicht in den ordner kommen müsste?

mfg
 
ich finde Passwörter ja sowieso unsinnig... warum nimmste keine Smartcard... blahblahblah... :D:D:D


ähm also wenn die Datei auf .php endet und ungefär so aussieht:
PHP: 
<?php
$user = "username";
$password = "secret";
?>

Dann kommt da auch keiner ran, denn Dein Webserver wird die Datei interpretieren und solange kein echo $password auftaucht das Passwort rausschmeißen (kannst es ja mal austesten und den Quellcode im Browser angucken)

Liegt deine Datei in einem Unterverzeichnis, in dem es keine index.html / .php gibt, dann kannst Du über die htaccess verhindern, daß Index Dateien angezeigt/erzeugt werden, soll heißen: normalerweise würde der Webserver hier ein FTP View Deines Verzeichnisses anzeigen, worauf der Angreifer zumindest Deine Dateinamen erkennen könnte. (Aufrufen kann er es trotzdem nicht, weil der Webserver die .php Dateien ja interpretiert....)
 
Man kann auch mit htaccess einzelne Dateien schützen vor direktem Zugriff, weiss aber nicht mehr genau, wie das ging :(.

Wenn ich dazu was finde, melde ich mich wieder, aber keine grossen hoffnungen draufen seetzen, lieber selber aktiv werden und suchen sowie man pages & how to's durchforsten ;)
 
cgi-bin

Hallo,
ich mach das immer wie folgt, und glaube auch daß das so stimmt.

Lege einen Ordner 'cgi-bin' an, und lege da die config.php rein. In die Dateien, die die config.php brauchen, schreibst du ein include("cgi-bin/config.php") rein. Die Dateien die hinter cgi-bin liegen werden durch den php-Interpreter geschützt, und können nicht direkt von außen aufgerufen werden. Nur durch einen include-Befehl werden sie integriert.

Viel Spaß
:cool:
odyss
 
Ich glaube trotzdem an die Datei rankommen zukönnen, wenn dir das Programm IntelliTramper was sagt, wüsstest Du auch warum.

Mit dem Programm kann ich webseiten-Verzeichnise total auslesen. Ich versuch das grade (nur so zum Test) bei jswelt.de. Bei einigen Verzeichnisen (auch beim cgi-bin) Verzeichnis ist ein kleines Schloss auf dem Verzeichnis Symbol, das hat aber glaub ich nur zubedeuten, dass eine "Forbidden
You don't have permission to access /cgi-bin/ on this server." Meldung kommt, wenn ich das Verzeichnis anklicke, wenn ich aber auf Dateien klicke, die in dem verzeichnis sind, die liesst das Progi nämlich aus, komm ich ohne weiteres an die ran.

Ich kann noch nicht mit gewissheit sagen, das auch das cgi-bin Verzeichnis sich so auslesen lässt, aber ich bin mir ziemlich sicher. Das Problem ist nur, dass das Programm nicht sonderlich schnell ist. Aber wer eine Seite knacken will hat sicherlich auch etwas Zeit.

Also ich würde mir eine andere Möglichkeit suchen die Passwörter zu verstecken. Falls ich NICHT an das cgi-bin Verzeichnis komme sage ich nochmal bescheid, aber ich glaub das ich das schaffe (bzw. das das Programm das schafft, ich hab damit ja recht wenig zu tun).

Mit geschmeidigen Grüssen C
 
mmm der scan ist zu Ende. Ich komm an einige Verzeichnisse mit "Schloss davor" ran und an einige nicht. Das ist komisch. Kann es sein, das auf dem Server einige Ordner sind in dennen nix drin ist? Wenn ja wäre das evtl. ne erklärung ansonsten kann es natürlich sein, das einige Ordner anders geschützt sind.

Na ja,.... egal ..... ein Versuch war es wert.
 
Also Dein Intellitramper zeigt die Strukturen einer Site nur anders an, als dies ein Browser tut, runterladen kann er genauso viel oder wenig wie ein Browser.... wie gesagt er stellt es nur anders da, nämlich Datei und Verzeichnisorientiert und nicht Dokumenten und Link orientiert....
 
da hab ich mal wieder n ding zum rollen gebracht. ihr solltet jetzt nicht anfangen euch auf server zu hacken und secret dateien auslesen :D

mir gehts darum: ich hab ein php gästebuch und in dem ordner liegt eine configdatei (*.inc) in der in klartext die zugangsdaten für meine mysql datenbank liegen. egal ob die datenbank nun top secret ist oder nicht - mir ist einfach nicht wohl dabei das pws im netz stehen.

ich hab mir das schon so gedacht das man mit programmen einfach den ganzen ordner runterlädt und die files editiert. ist ja beim offlinebrowsen so. ich hab selber mal plump versucht aber bei mir(für mich) war kein rankommen. ich denk mal das der provider schon etwas für sicherheit sorgt.

das mit dem cgi-bin ordner halte ich für einleuchtend. in der anleitung stand drin das ich die config in den root ordner strecken soll. und der cgi-bin ist schon bei meinem webspaceordner drin gewesen und gehört sicherlich mit zu den gesicherten ordnern. so werd ichs machen.

danke für die mühe jungens. und zum thema sicherheit der mysql datenbanken find ich ja den thread im smalltalk sehr interessant. ich hab auch mal bei google auf die links gedrückt und fand es sehr erschreckend wie einfach man an daten andere kommen kann.

bis dahin. cu. mfg
 
Geb den Dateien eine Endung, die direkt von PHP interpretiert wird. Über einen include oder ein require kommst du auf immer an die benötigten Daten ran, nur wenn jemand die Datei direkt aufruft, wird nix ausgeliefert solange kein echo print oder ähnliches drinsteht ;)
 
Über die htaccess kannst Du einstellen, daß z.B. auch .inc Dateien durch den PHP Parser laufen (falls sie das nicht sowieso schon tun).... sonst würden sie nämlich als Text/plain übertragen und das wäre übel...
 
Hilfe ich packs nicht

ich hab die suchfunktion durchsucht - im web - nix

folgendes. ich hab eine include. die datei in der sie aufgerufen wird liegt aber in einem anderen ordner als die aufzurufende datei. in htnl funktionier das so ../andere_ordner/andere_datei

-also einmal raus und dann wieder rein.

warum geht das nicht im php?

hab auch schon kompletten pfad mit url davor probiert. geht alles nich. :(

include($DOCUMENT_ROOT."/include/config.inc.php3");

sowas in der art geht auch nicht
 
Zuletzt bearbeitet von einem Moderator:
also relative und absolute Pfade kannst Du in includes schon verwenden, URLs allerdings nicht.....

z.B.
relativ:
"../includes/myinclude.php"
absolut:
"/usr/local/httpd/htdocs/includes/myinclude.php"

wie Du siehst bezieht sich absolut auf den physikalischen Speicherort der Datei....

Problematisch wird es bei Abhängigkeiten, d.h. wenn ein Skript eine Datei mit include einbindet, die wiederum Dateien included und die Dateien dabei aus unterschiedlichen Verzeichnissen stammen!!

z.B.:
index.php
-> include config/config.php

config.php
-> include passwords.php

Wenn Du jetzt config.php im Verzeichnis /config aufrufst, dann gibt es keine Fehlermeldung, wenn Du index.php im Verzeichnis / aufrufst, dann findet er passwords.php nicht....
 
inclu

@TurboLarsen

Ich glaube das Problem liegt nicht bei Dir, sondern bei Deinem Webspace-Anbieter. Der hat seinen Server so konfiguriert, daß er nur Dateien included, die direkt darunter liegen. Also die Dateistruktur nicht so aufbauen: ../1.Ordner/..
sondern so: 1.Ordner/..

probiers mal
odyss
 
geht auch nicht


Frage: Wie lautet der absolute Pfad?
Antwort: Auf eine Datei, welche zur Zeit im Verzeichnis cgi-bin der
Subdomain www liegt, wird mittels "/htdocs/www/cgi-bin/dateiname"
referenziert. Ein Beispiel: die Datei
http://www.wolkenheim.de/daten/kunden.txt befindet sich somit unter
"/htdocs/www/daten/kunden.txt". Dieses gilt auch für require Anweisungen.
Sprich require ("/htdocs/www/cgi-bin/config.txt"); anstelle von require
("config.txt");



das steht in der anleitung. provider= kontent.de

hab grad ein forum installiert. hab alles eingestellt aber in den scripten nichts verändert. und dort kommt auch das problem das er nicht auf die require (file) zugreifen kann ;-(

ich such morgen mal im web. falls hier keiner das problem kennt. thx .cu
 
muß gehen

Hatte mal das ganz gleiche Problem bei Kontent.de
Bei teureren Providern gibts das Problem nicht.

Das liegt an der Servereinstellung. Ich habe damals meine ganze Verzeichnißstruktur umgebaut, bis es lief. Wie ich es genau machte, weiß ich auch nicht mehr, aber so ungefähr.
Probier mal Schritt für Schritt.
Lege eine index.php in die erste Ebene, include dann eine Datei relativ: include("/cgi-bin/test.txt").
Ich glaube es war sogar so, daß alle Dateien, welche eine andere included haben, unbedingt in der allerersten Ebene liegen müssen.

odyss
 
TurboLarsen schrieb:
Hi!

ich hab ein php gästebuch mit msql unterstützung. läuft super. hab nur ein problem. in dem selben ordner wo die seiten liegen liegt auch eine config in der mein mysql pw steht. in der readme steht ich solle die in den root ordner schieben. da komm ich ja aber nicht ran - hab ja space vom anbieter gemietet. wie kann ich diese datei sicher machen? oder brauch ich das garnicht weil mann sowieso nicht in den ordner kommen müsste?

mfg
Zum Vergrößern anklicken....

Hi TurboLarsen ,

du kannst deine config-Datei am besten so schützen:

erstelle in dem selben Ordner wie deine config-Datei eine ".htaccess"-Datei ( ohne "" ) mit folgendem Inhalt:
PHP: 
<files config.php>
Order Deny,Allow
Deny From All
</files>

so kann diese Datei nur noch vom Server angesprochen werden.


Gruss V.I.P
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben