ibuzzzmx: In einem Verzeichnis PHP verbieten

Hallo,
ist es möglich mit einer .htaccess Datei PHP in einem Verzeichnis zu verbieten oder zu erreichen, dass .php Dateien nicht geparst werden?

z.B. /test/.htaccess verbietet PHP für /test/no-php/

Grüße
ibuzzzmx

  1. Hi there,

    ist es möglich mit einer .htaccess Datei PHP in einem Verzeichnis zu verbieten oder zu erreichen, dass .php Dateien nicht geparst werden?

    irgendwie erinnert mich das an eine Frage von der Art: Wie kann ich verhindern, daß ich in meinem Auto auf das Gaspedal trete?

    In einem Verzeichnis, wo Du Zugang hast, würd ich einfacherweise alle php-Dateien löschen, dann werden sie sicher nicht ausgeführt. Oder möchtest Du Dir einfach den PHP-Code ausgeben lassen? Was auch immer, es interessiert mich einfach, wozu Du das benötigst...

  2. Hallo ibuzzzmx.

    ist es möglich mit einer .htaccess Datei PHP in einem Verzeichnis zu verbieten oder zu erreichen, dass .php Dateien nicht geparst werden?

    z.B. /test/.htaccess verbietet PHP für /test/no-php/

    Wenn du die .htaccess-Datei im Verzeichnis „no-php“ platzierst, könntest du beispielsweise die Interpretation als Nurtext erzwingen:

    [link:http://httpd.apache.org/docs/2.0/mod/mod_mime.html#addtype@title=AddType] text/plain .php

    (Ja, mir ist bewusst, dass RemoveType existiert, doch PHP-Scripte werden hiermit – zumindest bei mir – dennoch interpretiert.)

    Sollten deine PHP-Scripte Daten enthalten, die nicht für jeden einsehbar sein sollen, solltest du über eine andere Vorgehensweise nachdenken. Hier wäre zum Beispiel denkbar, den Zugriff auf PHP-Scripte zu verbieten.

    Einen schönen Sonntag noch.

    Gruß, Mathias

    --
    ie:% fl:| br:< va:) ls:& fo:) rl:( n4:~ ss:) de:] js:| mo:| zu:)
    debian/rules
  3. Hallo,
    ich möchte das Parsen von .php Dateien als zusätzliche Sicherheitsmaßnahme verhindern. Es handelt sich um ein Verzeichnis, in welches mit FTP und HTTP hochgeladen werden kann (nur ausgewählte Personen). Es soll verhindert werden, das jemand sich einfach ein .php-Script hochläd und alle anderen PHP-Scripte auf dem Server anzapfen kann. Ich möchte einfach so viel Sicherheit wie möglich. Weil man mit FTP Zugang hat, darf die .htaccess auch nicht in dem Verzeichnis liegen. Man könnte sie sonst einfach löschen und munter Scripte hochladen.

    Grüß
    ibuzzzmx

    1. hi,

      Weil man mit FTP Zugang hat, darf die .htaccess auch nicht in dem Verzeichnis liegen. Man könnte sie sonst einfach löschen und munter Scripte hochladen.

      Na dann lade ich halt eine .htaccess, die Anweisung gibt, dass Dateien mit der Endung .php durch den PHP-Parser geschickt werden sollen, in eben dieses Upload-Verzeichnis hoch.

      Dem könnte man ja noch halbwegs entgegenwirken, in dem man den Namen der Konfigurationsfiles auf höherer Ebene ändert - aber auch das wäre wieder nur Security through obscurity ...

      Ich möchte einfach so viel Sicherheit wie möglich.

      Dann solltest du dich eher von Konzepten verabschieden, die per se löchrig sind - anstatt diese laienhaft zu fixen zu versuchen.

      gruß,
      wahsaga

      --
      /voodoo.css:
      #GeorgeWBush { position:absolute; bottom:-6ft; }
      1. hi,

        Dem könnte man ja noch halbwegs entgegenwirken, in dem man den Namen der Konfigurationsfiles auf höherer Ebene ändert - aber auch das wäre wieder nur Security through obscurity ...

        O.k. das hatte ich wohl die Voodoo-Power von .htaccess überschätzt.

        Ich möchte einfach so viel Sicherheit wie möglich.

        Dann solltest du dich eher von Konzepten verabschieden, die per se löchrig sind - anstatt diese laienhaft zu fixen zu versuchen.

        Dann bleibt wohl nichts anderes als ein HTTP-Upload mit sauberer Kontrolle übrig.

        Gruß
        ibuzzzmx

    2. Hallo ibuzzzmx.

      ich möchte das Parsen von .php Dateien als zusätzliche Sicherheitsmaßnahme verhindern. Es handelt sich um ein Verzeichnis, in welches mit FTP und HTTP hochgeladen werden kann (nur ausgewählte Personen). Es soll verhindert werden, das jemand sich einfach ein .php-Script hochläd und alle anderen PHP-Scripte auf dem Server anzapfen kann.

      Dann solltest du deine globale Serverkonfiguration (httpd.conf) für den jeweiligen VirtualHost anpassen und für das betreffende Verzeichnis die bereits genannte Zugriffsbeschränkung (Files, Deny) festlegen.

      Dadurch dass hierbei gar keine .htaccess-Datei genutzt wird, verhinderst du die Manipulation dieser Einstellungen gänzlich.

      Einen schönen Sonntag noch.

      Gruß, Mathias

      --
      ie:% fl:| br:< va:) ls:& fo:) rl:( n4:~ ss:) de:] js:| mo:| zu:)
      debian/rules
      1. Hi,
        ich glaube so viel Eingriff erlaubt mein Webhoster nicht. Ich werde das Problem wohl mit einem PHP-Upload mit sauberer Datei-Kontrolle lösen müssen.

        Danke.

        Gruß
        ibuzzzmx

      2. Hi Mathias,

        Dadurch dass hierbei gar keine .htaccess-Datei genutzt wird, verhinderst du die Manipulation dieser Einstellungen gänzlich.

        Insofern korrekt, als dass die Personen mit FTP Zugang sicherlich nicht die httpd.conf ändern können, aber trotzdem gilt es auch hier zu beachten, dass man nicht mit einer .htaccess Datei in dem Ordner die Dateien wieder "freischalten" kann - also noch ein AllowOverride none setzen.

        Viele Grüße aus Kanada,
          ~ Dennis.