Frage zum Includen?

ha, sorry, hab mich verschrieben: /etc/passwd

Das ist das /etc ist unter Linux das Verzeichnis wo Konfigurationsscripte liegen. /etc/passwd greift nicht auf das Webserver Verzeichnis, sondern auf ROOT/etc/passwd zu. Deswegen das /.

Mit diesem Befehl ist es möglich, AUSSERHALB des Webserver Bereiches zu agieren. So...und du brauchst mich nicht gleich als vollkommen bescheuert hinzustellen, denn ich hab das ausprobiert. Die meisten Billighoster schotten ihre Systeme nicht ab, und so kann man mit unvorsichtigem Code Sicherheitslöcher schaffen. Glaub mir.

Zu POST/GET/usw.:
Die Einstellung, dessen Name mir nicht eingefallen ist, Herr/Frau Holyfly, heißt register_globals und man kann sie in der PHP.ini einstellen. In Zukunft wird diese Einstellung per default auf off gesetzt, dass heißt man kann sie wieder einschalten.
Daher arbeiten SEHR viele Server die auf PHP 4.2 laufen immer noch mit register_globals = on. Mit meinem Einwand wollte ich nur sagen, dass du den User auf etwas hingewiesen hast, was in diesem Zusammenhang gar nicht das Thema war. Dadurch wird man verunsichert.
Ich will auch nicht, dass man sich die neue Art der Variablenübergabe wieder abgewöhnt, daher hab ich den Workaround auch nicht gepostet. Aber zumindest übergangsweise kann man auf einem System wo auf einmal register_globals = on gestellt ist, so seine Scripte noch zum laufen bringen, bis man was besseres hat.

Ansonsten hast du Recht, man sollte das gleich richtig machen, das trifft doch auch auf Braunis Thread zu, gell? ;)

Ciao, F.o.G.

und nimm mich bitte nich allzu ernst, ich steigere mich in so was nur gern hinein.
 
F.o.G. hat gesagt.:
ha, sorry, hab mich verschrieben: /etc/passwd

Mit diesem Befehl ist es möglich, AUSSERHALB des Webserver Bereiches zu agieren. So...und du brauchst mich nicht gleich als vollkommen bescheuert hinzustellen, denn ich hab das ausprobiert. Die meisten Billighoster schotten ihre Systeme nicht ab, und so kann man mit unvorsichtigem Code Sicherheitslöcher schaffen. Glaub mir.
Zum Vergrößern anklicken....

Sorry ich will dich nicht als bescheuert darstehen lassen, ich korrigier dich nur.
Und ich muss das leider schon wieder machen. Es gibt die Datei /etc/passwd wie du dich korrekt korriegiert hast nur stehen auch da keine passwoerter drinne.
diese stehen in der shadow datei. Debian steckt die direkt unter /etc/shadow
andere distributionen /etc/shadow/passwd
und die Zugriffsrechte sind
-rw-r----- root shadow
Das heisst lesen darf root und mitglieder der gruppe shadow ;)
ein script darf dies nicht.

Zu POST/GET/usw.:
Die Einstellung, dessen Name mir nicht eingefallen ist, Herr/Frau Holyfly, heißt register_globals und man kann sie in der PHP.ini einstellen. In Zukunft wird diese Einstellung per default auf off gesetzt, dass heißt man kann sie wieder einschalten.
Daher arbeiten SEHR viele Server die auf PHP 4.2 laufen immer noch mit register_globals = on.
Zum Vergrößern anklicken....
Das ist richtig. Nur erlaubt die einstellung Register Globals das mann auf Globale Variablen auf leichte art zugreifen kann. Aber sie verbietet nicht die andere Variante. ;)
Nur wieso soll ich mir was falsches angewöhnen nur weils erlaubt ist?

Mit meinem Einwand wollte ich nur sagen, dass du den User auf etwas hingewiesen hast, was in diesem Zusammenhang gar nicht das Thema war. Dadurch wird man verunsichert.
Zum Vergrößern anklicken....
Und wieder muss ich dich leider berichtigen, es war Kojote der dies zu erst angesprochen hat.

Übringends von Kojote können einige noch hier lernen in PHP.

Ansonsten hast du Recht, man sollte das gleich richtig machen, das trifft doch auch auf Braunis Thread zu, gell? ;)
Zum Vergrößern anklicken....
Jo, währe schön wenn du das beherzigst, denn in dem thread liegst du auch vollkommmen falsch.
´
und nimm mich bitte nich allzu ernst, ich steigere mich in so was nur gern hinein.
Zum Vergrößern anklicken....

Ich habe damit kein Problem, nur suchst du dir dafür den falschen aus :-)
 
ich hatte erst Herr Holfly zu stehen, dann dachte ich mir: was wäre wenn es eine Frau ist und wollte dich in diesem Fall nicht diskriminieren ;)

Ciao, F.o.G.
 
übrigens: in Braunis Thread kann ich gar nicht vollkommen falsch liegen, denn dort haben wir nur verschiedene Ansichten, welches die bessere Variante ist. Und da ich öfter auch mal mit JOINS und so arbeite kam mir sofort eine Einschränkung in den Sinn.

Und wenn ich an meine Scripte denke, dann merke ich immer mehr, wie falsch du liegst, denn in meinen Scripts werden nicht nur Variablen gespeichert, die unmittelbar mit der Tabelle zusammenhängen, sondern auch andere Sachen, die der User nicht modifizieren können sollte.

Die dienen dann der Steuerung des Scripts und haben nichts mit der Tabelle zu tun.....und schon funktioniert deine Version nicht....Sorry, ich bleibe dabei mein Recht zu behaupten..

Zu linux: kenn ich mcih nicht wirklich aus, aber wenn jemand mehr Ahnung hätte, wäre das trotzdem, ein Sicherheitsleck, wenn man über solch fehlerhafte Scripte an Daten herankommen könnte, oder? Bitte gib mir da doch mal recht. Ausserdem: glaubst du wirklich, dass jede Linux Distribution so sauber konfiguriert ist wie Debian? da draußen läuft auch so viel Schrott, und einem Hoster, der PHP nicht auf den Webbereich beschränkt, kann man doch grundsätzlich auch andere Schlampigkeiten unterstellen oder? Auch hier bleibe ich bei meinem Standpunkt.

Kojote und du haben beide so viele blaue Sterne ... das verwechselt man schon mal :)

Naja, genug Spaß für diesen Thread :)

Ciao, F.o.G.
 
Zuletzt bearbeitet:
F.o.G. hat gesagt.:
Und wenn ich an meine Scripte denke, dann merke ich immer mehr, wie falsch du liegst, denn in meinen Scripts werden nicht nur Variablen gespeichert, die unmittelbar mit der Tabelle zusammenhängen, sondern auch andere Sachen, die der User nicht modifizieren können sollte.
Zum Vergrößern anklicken....
Das ist schön, und auch normal.
Nur ich scripte nicht.
Die dienen dann der Steuerung des Scripts und haben nichts mit der Tabelle zu tun.....und schon funktioniert deine Version nicht....Sorry, ich bleibe dabei mein Recht zu behaupten..
Zum Vergrößern anklicken....
ja ja ;)

Zu linux: kenn ich mcih nicht wirklich aus, aber wenn jemand mehr Ahnung hätte, wäre das trotzdem, ein Sicherheitsleck, wenn man über solch fehlerhafte Scripte an Daten herankommen könnte, oder?
Zum Vergrößern anklicken....
Ich habe dir doch eben bewiesen das mann nicht ran kommt.
Nicht über solch mickrige Websprache wie PHP. Versuchs mit rootkids aber nicht auf diese Weise.
Wenn eine Datei als user nobody lesen kann ist das sowas von unrelevant.
Bitte gib mir da doch mal recht. Ausserdem: glaubst du wirklich, dass jede Linux Distribution so sauber konfiguriert ist wie Debian? da draußen läuft auch so viel Schrott, und einem Hoster, der PHP nicht auf den Webbereich beschränkt, kann man doch grundsätzlich auch andere Schlampigkeiten unterstellen oder? Auch hier bleibe ich bei meinem Standpunkt.
Zum Vergrößern anklicken....
Ich würde dir gern recht geben, und wenn ich mal ne antwort von dir lese die absolut korrekt ist werde ich das auch dick und gross machen. Versprochen.

Nun, es gibt an die 200 Distributionen. Wovon aber vielleicht 10 überhaupt auf Webservern genutzt werden und diese 10 ;) schlampen nicht insoweit das sie nicht shadow passwörter nutzen.
Ob das überhaupt bei einer der 200 Distributionen passiert weis ich nicht. Im übrigen währe dann ebenefalls die /etc/passwd nicht lesbar.

Also klares nein dazu.

Kojote und du haben beide so viele blaue Sterne ... das verwechselt man schon mal :)
Zum Vergrößern anklicken....
Die wahren mal gelb bevor ich und Kojote die Vodka flasche aus dem Keller geholt haben :-)
Naja, genug Spaß für diesen Thread :)

Ciao, F.o.G.
 
das sicherheitskonzept von linux sieht ganz anders aus als unter windows. kurz gesagt:
es gibt root - der darf alles. es gibt user - die dürfen nicht alles. kein admin, der noch halbwegs bei verstand ist (auch wenn er sich mit vodka blaue sterne angetrunken hat :-)) wird einem php-script root-zugang geben (geht das überhaupt?). wäre das so, dann könnte man nicht nur root-eigene dateien lesen, sondern gleich das ganze system abschiessen. ein so schlecht organisierter webhoster wird mit sicherheit sehr sehr schnell wieder pleite gehen.
man muss sich bloss mal ins gedächtnis rufen, wie das bei puretec im keller aussieht. wenn da irgendwas verloren geht, wäre das ziemlich fatal. deswegen ist das auch ein bunker mit hochsicherheits-bereich. ;)
 
Um antworten zu können musst du eingeloggt sein.

Neue Beiträge

Zurück