Gunther: Potentielle Gefahren beim Datei Upload

Beitrag lesen

SELF-Forum

Potentielle Gefahren beim Datei Upload

Gunther
Informationen zu den Bewertungsregeln

Moin Moin!

Meine Überlegung war folgende:
Der User, der die Anwendung verwendet, hat die entsprechende(n) Datei(en) als lua Datei vorliegen. Für den User also kein extra Aufwand, um seine Datei uploaden zu können. Wenn ich nun andererseits nur Dateien mit der Endung .lua in mein Verzeichnis verschiebe, und dort den Zugriff auf lua Dateien per htaccess verbiete, bin ich auf der sicheren Seite was etwaigen Missbrauch per Zugriff/ Download anbelangt, und kann bei Bedarf aber immer noch per Script auf die Dateien zugreifen.

Das ist genau die Denkweise, die du vermeiden solltest. Du definierst dir hier trennscharfe Bedingungen, die gut funktionieren, wenn alles innerhalb normaler Parameter läuft. Aber dein gesamter Schutz bricht zusammen, sobald auch nur eine Komponente den kleinsten Fehler zeigt.

OK, OK, auch wenn es manchmal etwas länger dauert, aber jetzt habe ich es begriffen! ;-)

Die einfachste Methode, ein Verzeichnis vom Web aus unerreichbar zu machen, wäre halt, es außerhalb des DOCUMENT_ROOT-Verzeichnisses zu platzieren. Das Skript kann, weil es über das Dateisystem operiert, dort zugreifen - HTTP aber nicht.

Ja, sehe ich ein. Wobei ich dabei wieder vor der Frage stehe, wie ich was konfigurieren muss, damit mein PHP Script die benötigten Rechte hat.

Es gibt ja durchaus Webspaces, bei denen man es sich nicht einrichten kann, solch ein außerhalb gelegenes Verzeichnis zu benutzen. Aber wenn es möglich ist, sollte der Zugriff mit PHP keinerlei Unterschied aufweisen im Vergleich zu einem webverfügbaren Verzeichnis.

Ich hab' es jetzt so gemacht (also ein Verzeichnis außerhalb des DOC-ROOTs). Nur die open_basedir Einstellung musste ich entsprechend anpassen, damit es funktioniert.

Also wie gesagt, ich glaube, dass ich das Grundprinzip, wie man solche Dinge handhaben sollte, verstanden habe, dank deiner ausführlichen (und geduldigen) Erklärungen! Denn schließlich möchte ich eben nicht aufgrund meiner Unwissenheit/ Unkenntnis diverser Dinge, den "bösen Jungs" Tür & Tor öffnen. Aber jetzt sollte ich ja nun endgültig auf der sicheren Seite sein.

Besten Dank nochmal und schönes Wochenende!

Gruß Gunther

Beitrag melden
Informationen zu den Bewertungsregeln