PHP/MySQL - Wie sicher ist das wirklich

[shutdown]

Hi!

Ich hätt da mal ne Frage zwecks der Sicherheit von PHP in Verbindung mit MySQL.

Beim Stöbern durchs Netz bin ich dabei auf den Befehl show_source gestoßen.
Dieser gibt ja den Quellcode einer Seite schön bunt wieder aus.

Problem: Wenn ich ihn auf meine eigenen Seiten anwende, dann gibt er mir auch meine Passwörter für meine Datenbank schön säuberlich aus - und das finde ich nicht so toll

Anscheinend funktioniert dieser Befehl nicht für Dateien, die auf anderen Servern liegen (an http://www.t-online.de komme ich zum Beispiel nicht ran ), allerdings kann ich mir den Quellcode aller anderen Personen auf dem Server meines Providers anschauen.
Hier habe ich bisher kein PHP-Highlighting gefunden, kann aber auch daran liegen, dass die Leute einfach keines verwenden.

Darum meine Frage: Wie sicher ist das Ganze, kann ich mich irgendwie schützen?

Danke im Voraus!

cu shutdown

 

[tefla]

Wenn du wirklich PHP Source Code von anderen WebPacks auf dem Server einlesen kannst, dann solltest du den Provider wechseln!

Und schreib mal bitte noch welcher Provider das ist.

Siehst du wirklich PHP Code auf den fremden Webpacks ? oder nur HTML ?

Auf fremden Servern kannst du logischerweise dir keinen Sourcecode anschauen, es sei denn die PHP Files laufen da durch keinen Parser, da das aber keinen Sinn macht wirst du auf einen solchen Server nicht stossen.

 

[shutdown]

Hi!

Danke für die schnelle Antwort.

Also ich bin bei einem regionalen ISP, der allerdings außerhalb der Oberpfalz kaum bekannt ist - auch wenn er deutschlandweit verfügbar ist - es kennt ihn halt keiner

Also ich kenne mich damit, wie so ein Server funktioniert noch nicht so gut aus - daher wahrscheinlich auch meine Frage.

Also wenn ich deine Antwort richtig verstehe: Man kann über den show_source Befehl nur den PHP-Quellcode aus seinem eigenen Webpack auslesen - versucht man auf andere Webpacks zuzugreifen, dann werden die vorher geparsed und kommen als reines HTML an.

Hab ich das so richtig verstanden? (Bei meiner Suche, habe ich keine PHP-Codeschnipsel mehr gefunden)

Verhält sich das dann auch mit HTML_get_content() so? Da kann man ja angeblich nach Änderungen an der PHP.ini auch auf fremde Server per URL zugreifen - ist da dann auch der PHP-Teil schon geparsed und damit nicht mehr zu lesen?

Vielen Dank!

cu shutdown

 

[Sven Petruschke]

Der einzige Grund, warum Du in den Quellcode der anderen Nutzer Deines Servers sehen kannst ist, weil Du mit der Funktion über das Dateisystem direkt auf die Datei zugreifst. Bei Remote-Quellen funktioniert das nicht, weil die PHP-Datei zuvor interpretiert wird.

und wie tefla bereits sagte: Der Server ist einfach nur schlecht konfiguriert. Soetwas sollte unter keinen Umständen möglich sein. Aber ich selbst habe auch schon bei großen Providern erlebt, dass man einfach in das Temp-Verzeichnis wechseln kann, um die session-files einzusehen.

snuu