Moin!

Aber es ist ja kein Problem, das, was SSI tun soll, auch mit PHP zu tun. Man kann also den SSI-Teil dieser fuss.shtml auch komplett in PHP erledigen.

… und dafür muss man ja nicht immer gleich die PHP-Engine anschmeißen, wenn SSI reicht. Nur, wenn ich auf einer Seite für andere Dinge PHP brauche, kann ich die Datei nicht mit SSI einfügen.

Du argumentierst mit Performancegründen. Dabei wird dein SSI ohnehin als HTTP-Subrequest behandelt wird, d.h. du beschäftigst allein für das SSI erneut den gesamten Webserver mit dem Subrequest. Und PHP als Modul in den Apachen gebunden sollte sich hinsichtlich der Ausführungszeit auch nicht groß unterscheiden.

Ich behaupte einfach mal: Wenn das Parsen und Einbinden eines PHP-Skriptes, welches den Fuss erstellt, tatsächlich Performanceprobleme mit sich bringt, dann hast du schon wesentlich früher ganz andere Probleme, würde ich meinen.

Natürlich könnte ich zwei getrennte Dateien fuss.shtml und fuss.php für exakt denselben Zweck anlegen. Nur unschön, dass dann Änderungen jeweils in beiden Datein gemacht werden müssen.

Hinsichtlich der hochgeschätzten Performance aber wesentlich ratsamer, denn die nutzlosen SSI-Kommentare müssen ja von der PHP-Engine auch geparst werden, und die nutzlosen PHP-Bereiche von der SSI-Engine. Das ist ebenso unverzichtbar wie das Abschalten der Multiviews und wiedereinführen der Dateiendung bei der SSI-Einbindung, denn das Suchen einer passenden Ressource kostet vollkommen unnötig Zeit.

aber PHP-Code böte unter Umständen dann doch die Offenbarung von Angriffspunkten

Prinzipiell ja, in meinem Fall stehen keine Geheimnisse drin.

In den diversen Inkarnationen des phpBB stehen auch keine Geheimnisse drin - trotzdem finden sich dort immer wieder Sicherheitslücken. Mit anderen Worten: Es geht weniger um das, was man als "Geheimnis" bezeichnen würde, sondern um eventuelle Ansatzpunkte, über deren Nutzbarkeit du ggf. noch gar nicht nachgedacht hast. Gerade bei auch einzeln aufrufbaren PHP-Codefragmenten und u.U. unglücklich gewählter PHP-Konfiguration bieten sich eventuell ungeahnte Angriffsmöglichkeiten.

- Sven Rautenberg