anzeige

Optionen für ini_set unter Webhosting->PHP


Seite: 1
Autor Beitrag
SourceR
30.11.08 - 00:00:07 Uhr

 Hi Leute,

da aus verständlichen Gründen die ini_set() Funktion deaktiviert ist, wünsche ich mit die Kontrolle über ein paar Funktionen in den PHP-Einstellungen im Webhosting bereich.

Eine Möglichkeit zum de-/aktivieren/bearbeiten einiger ini Optionen:
- display_errors : ON/OFF (default: ON)
- display_startup_errors : ON/OFF (default: ON)
- error_prepend_string (default: empty)
- error_append_string (default: empty)
- error_log (default: User-Root/log)
- error_reporting (default: 30719 [E_ALL])

Des weiteren sollte statt dem Root Ordner ein anderer Ordner als http Ordner angezeigt werden (z.b. 'www', 'html' oder 'http')
um z.b. Hackern / Krackern und Script-kiddies die Möglichkeit zu nehmen über PHP-Sicherheitslücken an Passwörter und andere Sensible Daten des Webspaces zu kommen.

MfG
SourceR
feuerfuchs
30.11.08 - 11:10:21 Uhr
Zitat:
- display_errors : ON/OFF (default: ON)
- display_startup_errors : ON/OFF (default: ON)
- error_reporting (default: 30719 [E_ALL])

Dafür. Standardeinstellung sollte auf jeden Fall "ON" sein. Außerdem sollte beim Aktivieren eine große Hinweismeldung gezeigt werden, die unerfahrene Nutzer darüber informiert, dass diese Einstellung das Anzeigen von Fehlermeldungen unterdrückt und damit die Fehlersuche unmöglich macht.

Zitat:
- error_log (default: User-Root/log)

Ich weiß nicht, ob dies Sicherheitstechnisch problemlos machbar ist.

Zitat:
Des weiteren sollte statt dem Root Ordner ein anderer Ordner als http Ordner angezeigt werden (z.b. 'www', 'html' oder 'http')
um z.b. Hackern / Krackern und Script-kiddies die Möglichkeit zu nehmen über PHP-Sicherheitslücken an Passwörter und andere Sensible Daten des Webspaces zu kommen.

Gleiche Frage wie oben: Ist das problemlos machbar?
Kleines Beispiel: Deine DB-Config liegt außerhalb des WWW-Root. Das PHP-Skript braucht aber trotzdem Zugriffsrechte. Findet sich nun eine Sicherheitlücke im Skript, kann der Angreifer die Datei lesen, weil das Skript ja die Zugriffsrechte auf die Datei braucht.
Außerdem werden Anfänger garantiert Probleme damit haben...
_________
Benutzt den Pytal-Chat!
PyFix
RSS-Feed
SourceR
01.12.08 - 01:57:43 Uhr
  1. Zitat:  
  2. - display_errors : ON/OFF (default: ON)  
  3. - display_startup_errors : ON/OFF (default: ON)  
  4. - error_reporting (default: 30719 [E_ALL])  
  5.  
  6. Dafür. Standardeinstellung sollte auf jeden Fall "ON" sein. Außerdem sollte beim Aktivieren eine große Hinweismeldung gezeigt werden, die unerfahrene Nutzer darüber informiert, dass diese Einstellung das Anzeigen von Fehlermeldungen unterdrückt und damit die Fehlersuche unmöglich macht.  
  7.  


Gute Idee, Währe ich mit einverstanden.

  1. Zitat:  
  2. - error_log (default: User-Root/log)  
  3.  
  4. Ich weiß nicht, ob dies Sicherheitstechnisch problemlos machbar ist.  


Ich weiß dass es geht, nur ob dann noch die Standard Logs (meist [Apache-Verzeichnis]/logs/) geschrieben werden, weiß ich momentan nicht.

  1. Zitat:  
  2. Des weiteren sollte statt dem Root Ordner ein anderer Ordner als http Ordner angezeigt werden (z.b. 'www', 'html' oder 'http')  
  3. um z.b. Hackern / Krackern und Script-kiddies die Möglichkeit zu nehmen über PHP-Sicherheitslücken an Passwörter und andere Sensible Daten des Webspaces zu kommen.  
  4.  
  5. Gleiche Frage wie oben: Ist das problemlos machbar?  
  6. Kleines Beispiel: Deine DB-Config liegt außerhalb des WWW-Root. Das PHP-Skript braucht aber trotzdem Zugriffsrechte. Findet sich nun eine Sicherheitlücke im Skript, kann der Angreifer die Datei lesen, weil das Skript ja die Zugriffsrechte auf die Datei braucht.  
  7. Außerdem werden Anfänger garantiert Probleme damit haben...  


Wenn du dir mal z.b. kilu.de anschaust, die haben es seit beginn so eingerichtet, das ein Ordner "www" im User-Root angelegt wird, auf den die User-Domain geleitet wird und
die Servern bei mir in der Firma haben "html" als Standard-Domain Ordner (und phptmp als Datei-Handling Ordner),
auf unseren Servern können wir noch nicht mal in den html-Ordner mit PHP-Funktionen wie file_put_contents oder fopen Schreiben,
dieses System hat sich als überaus sicher erwiesen (wenn auch etwas umständlich).

Also Technisch machbar (und überaus beliebt) und mal ehrlich, wenn es auf Pytal auch so eingerichtet werden würde, habt ihr eine gut Funktionierendes Bord-System in dem Tutorials zu dem Thema ohne ende untergebracht werden könnten.

MfG
SourceR
Gunni
01.12.08 - 18:49:01 Uhr

 Ich bin für mehr Einstellungen.

Wofür aber das Webroot-Verzeichnis in ein Unterverzeichnis verschoben werden soll, erschließt sich mir nicht. Denn: Pytal ist zum hosten von Webseiten da (nicht zum Lagern von Dateien; vgl. Regeln). Möchte man Dateien schützen, kann man .htaccess nutzen.
Seite: 1

- Obige Beiträge stellen keine Äußerung oder Meinung von Pytal oder dessen Betreiber dar -