Schreibrechte: Wie sicher ist das?

christhebaer

Mitglied
Hallo!

ich habe da mal eine Frage. Wenn ich einer Datei bei meinem Hoster
auch Schreibrechte (zb: 666) zuweise, ist diese Datei (Bsp: .txt) dann
nur mit einem Script (bsp: PHP), welches auf dem gleichen Server
liegt beschreibbar? Oder kann Irgendjemand von seinem Server aus
ein Script schreiben, mit dem er in diese Datei schreiben kann?

ich habe das selber schonmal ausprobiert. Sprich von einem Hoster
aus ein Script gestartet, welches in eine Datei bei einem anderen
Hoster etwas reinschreiben soll. Aber da bekam ich nur eine Fehler-
meldung, das dieses nicht erlaubt sei (vom Hoster, auf dem das
Script liegt).

Ist das dann eine Server-Einstellung beim Hoster, das er das
dann nicht erlauben will?
Und ist das damit dann also doch möglich? Oder etwa nicht?

Da bin ich jetzt einfach verwirrt. Vielleicht kann mir jemand das
erklären?

Mit Dank im voraus
christhebaer
 
Setz' doch die Rechte für diese Datei so gering wie möglich.
Dann, im Script, setzt du mit der Funktion chmod() auf die benötigten Werte.
Am besten wäre es natürlich, wenn du eine Möglichkeit hättest, die Datei unter dem DocumentRoot abzulegen.
 
Danke @rootssw

Aber es ging mir eigentlich nur um die generelle Frage.

Das mit dem chmod() funktioniert leider nicht bei meinem
Hoster. Wenn müßte ich über FTP ne Verbindung herstellen.

Aber wenn es eh nicht möglich "wäre" von einem anderen
Server auf diese Text-Datei einzugreifen, wäre das mit den
Rechte-Wechsel nicht nötig. Oder?

Gruß
christhebaer
 
Wenn die Datei den CHMOD 666 besitzt, heißt das, dass der Besitzer der Datei (Du), User, die sich in der gleichen Gruppe, wie Du befinden und alle anderen User Lese- und Schreibrechte auf die Datei besitzen. Und das muss auch so sein, vorausgesetzt, Du möchtest über PHP den Inhalt der Datei verändern und der PHP-Interpreter gehört nicht der gleichen Gruppe, wie Du an. Das ist auch meistens der Fall. Das heißt aber auch, dass ALLE anderen Nutzer des Servers (!) theoretisch die Datei verändern können.

Wäre nett, wenn mich ein Linux-Crack bei Bedarf korrigieren könnte :)

snuu
 
Wie schon Snuu gesagt hat jeder User des Unixsystems hat das Recht deine
Datei zu überschreiben.
So wer ist nun User oder wie wird man User beim Unixsystem?
a)jeder der ein Account auf der Maschiene hat ist User.
b)FTP Benutzer ist auch ein User und das dürfe die grösste Lücke sein
- ettliche Server haben ein FTP Gastaccount der normalerweise zwar gesondert gesichert ist aber wenn der Admin gepennt hat :-( wars das
c)die grösste Gefahr dürfte aber von deinen Scripten selbst ausgehen
wenn die nicht dicht sind bringt ein böser User PHP dazu alles bei dir
platt zu machen
 
Zuletzt bearbeitet:
@meImager

c)die grösste Gefahr dürfte aber von deinen Scripten selbst ausgehen
wenn die nicht dicht sind bringt ein böser User PHP dazu alles bei dir
platt zu machen

Was meinst du mit "nicht dicht"?

Wenn jemand versucht, das Script direkt aufzurufen, muß er erstmal Benutzername und Kennwort eingeben. Und dann checked das Script, ob
entsprechende Werte übermittelt wurden. Wenn nicht, wird auch nichts ausgeführt.

Das ist doch dann recht sicher oder?

Mit nettem Gruß
christhebaer
 
>Was meinst du mit "nicht dicht"?

>Wenn jemand versucht, das Script direkt aufzurufen, muß er erstmal >Benutzername und Kennwort eingeben.
---- snipp ---
>Das ist doch dann recht sicher oder?

Kommt drauf an :-)
PHP - Globals einstellung ist wie?
Benutzt du Mysql für die Abfrage - wenn ja bist du gegen SQL Injektions
abgesichert ?
 
Das Script läuft folgenderweise ab:

Wird das Script direkt aufgerufen wird zum Eingabeformular (HTML) gesprungen.
Der User muß seine Zugangsdaten eingeben.
Stimmen diese überein, wird eine Session gestartet mit der ich den User identifizieren kann.

Das Script ansich wird immer zum Eingabeformular springen, da er
entsprechende Werte von einem Formular erwartet.
Dieses Formular muß also vorher ausgefüllt werden, und dann abgeschickt
werden. Das Script überprüft die Werte, und schreibt diese dann in die Text-Datei.

Auch das Formular überprüft den user auf Berechtigung dieses Formular zu
öffnen. Sollte das nicht er Fall sein, wird er zur Eingabeaufforderung geleitet.

Das sollte dann doch recht sicher sein, oder?

Selbst wenn jemand wissen würde, welche Felder vom Formular übertragen
würden, - die Leitung ist übrigens mit SSL geschützt - , kann er doch nicht von einem
anderen Server aus das Formular nachbilden und dann von dort aus das Script
Werte übermitteln? Da er doch dann wieder zur Eingabeaufforderung gelangt. oder?

Mit nettem gruß
christhebaer
 
Ok ich weiss welche Felder für die Eingabe benutzt werden
das ist nicht das Problem
Deine Textdatei in der Username und Passwort stehen ist doch
hoffentlich per htaccess geschützt - sonst lese ich die mit
jedem Browser aus
 
mal andere frage

wie sehen solche injektions aus bzw wie sichere ich mich gegen solche ab ich hab da mal gehört es gibt den mysql_escape_string befehl allerdings hat der bei mir nicht funktioniert!
 
Zurück