Hallo Christoph,

Wie kann ich dies verhindern.

Du musst dem Webserver mitteilen, dass er die Datei nicht ausliefern soll. Dazu hast Du zwei Möglichkeiten:

1. Die Datei wird außerhalb des Webstammbaums abgelegt. Dann gibt es keine Möglichkeit, über HTTP darauf zuzugreifen.

2. Die Datei wird mittels Konfigurationsmethoden des Webservers (beim Apache z.B. .htaccess) für den Zugriff über HTTP gesperrt.

Wenn PHP aber die Datei lesen und schreiben muss, kann ich dies schlecht mit den Lese und Schreibrechte lösen!

Genau.

Viele Grüße,
Christian

ich habe eine Malingliste und jeder User kann sich online eintragen.
Alles wird dann in einer TXT gespeichert.

Nur könnte jeder, wenn er den Pfad weiss, die Textdatei aufrufen und anschauen.

Wie kann ich dies verhindern.

Lege die Datei oberhalb Deines Webverzeichnisses ab (PHP: $_SERVER["DOCUMENT_ROOT"]."/../adressen.txt"). Auf diesen Ort ("Wurzel" oder "webroot") hat man per Webserver bzw. URL keinen Zugriff.
Falls Du beim Login per FTP als erstes den Namen des Verzeichnisses siehst, in dem sich Deine Webseiten befinden (meistens "htdocs", "public_html" oder "www"), funktioniert dieser Weg. Andernfalls hast Du mit allerhöchster Wahrscheinlichkeit keinen Zugriff auf Verzeichnisse oberhalb des Webverzeichnisses.

Zweite Möglichkeit wäre das Sperren der URL zur Adressdatei. Beim Apache benutzt Du dazu etwas wie

<files "adressen.txt">
  Deny from all
  </files>

in der jeweiligen .htaccess des Verzeichnisses (siehe auch Apache-Anleitung -> "Runtime Configuration Directives" -> "<files>" und "deny"). Benutzt Du einen anderen Webserver, befrage bitte die Anleitung.

Wobei mir noch eine dritte Möglichkeit einfällt: Standardmäßig sind beim Apache alle Dateien, die mit .ht beginnen, mittels <files> gesperrt (um Zugriffe auf .htaccess und ähnliches von Beginn an zu verhindern). Du könntest Deine Adressendatei also eigentlich auch einfach ".htadressen" nennen.

Gruß,
  soenk.e