PHP Quellcode aus website

leok

leok

Aktives Mitglied
Thread Starter
Dabei seit
19.11.2004
Beiträge
169
Reaktionspunkte
0
Gibt es eine mölichkeit aus einer website den original php code zu exthrahieren und nicht nur den HTML code, den das PHP produziert?

DieBuche
 
Hi,

wenn der nicht explizit als Quellcode gekennzeichnet ist nicht, da PHP ja direkt auf dem Server ausgeführt wird.

Viele Grüße
 
leok schrieb:
Gibt es eine mölichkeit aus einer website den original php code zu exthrahieren und nicht nur den HTML code, den das PHP produziert?

DieBuche
Zum Vergrößern anklicken....

Nö, das wäre sonst ein echtes Problem. Anders wär' nämlich schlecht.
 
das wäre ja ein erhebliches Sicherheitsrisiko. Anders als html, was nur zur Formatierung gut ist und deshalb offen sein soll, wird wie schon gesagt der php-code auf dem server ausgeführt und es sind nicht selten z.B. Passwörter darin gespeichert. Die könnte man dann ja einfach auslesen.
 
Wenn der Web-Server fehlerhaft konfiguriert ist ( bei/nach Wartungsarbeiten) kann das passieren. Zumindest sollte man immer damit rechnen ;)
 
@mrelan: ähäm, der webentwickler der passwörter im php Quelltext ablegt gehört gefeuert....

Nein, den Quellcode kannst du nicht mehr extrahieren, wenn die Datei in deinem Safari / Opera / wahtever angezeigt wird.

Jens
 
Dann müsstest du garantiert 9/10 Web-Entwicklern feuern.
 
scope schrieb:
Dann müsstest du garantiert 9/10 Web-Entwicklern feuern.
Zum Vergrößern anklicken....


in der Tat gibt es unterschiedliche Ansätze Kennwörter aufzubewahren. Perfekt ist Keiner. Kennwörter innerhalb von PHP-Code aufzubewahren ist recht sicher - bis eben genau der Apache-Server mal ohne PHP-Modul läuft.
 
Wieso, man kann doch die Include-Dateien
mit den Passwörtern im include-Path (php.
ini, Zeile 440) ablegen, und einbinden ;)
 
scope schrieb:
Dann müsstest du garantiert 9/10 Web-Entwicklern feuern.
Zum Vergrößern anklicken....

es gibt viele Projekte, die so Passwörter speichern. Besonders Datenbankverbindungen werden so hinterlegt.
 
passwörter am besten in einer include-datei ausserhalb des document root platzieren, dann gibt's auch kein prob bei der server-wartung.
 
diese kann man noch zusätzlich per verzeichnisschutz schützen...
 
noch einfacher: Passwörter mit md5 verschlüsselt speichern!
stimmt: DB-Passwörter werden meist im Quelltext abgelegt. Habe ich schon (zu) oft gesehen.
 
Duselette schrieb:
diese kann man noch zusätzlich per verzeichnisschutz schützen...
Zum Vergrößern anklicken....

Und das mache ich indem ich der Gruppe "World" keine Rechte gebem und dem Script, was auf die POasswörter zugreift nur Schreibzugriffe gebe?
Weil vor genau dem Problem stehe ich zur Zeit.
 
Der User, unter dem der Webserver läuft, muss Zugriff auf die Datei haben. Alle andere nicht. Wenn die Datei dem User "Webserver" gehört, kannst Du die Rechte so vergeben:

-rw------- 1 webserveruser webservergruppe 17 Nov 28 22:12 meinedatei

Es ist egal, welche Rechte das Skript, das diese Datei lesen soll, hat! Ob man etwas lesen darf oder nicht hängt von User, Gruppe und den eingestellten Rechten der jeweiligen Datei ab.

----edit----
Stimmt nicht ganz: Der User, dem diese Domain zugeordnet ist, muss Zugriff haben! Bei Plesk z.B. User: loginname, Gruppe: psacln

Ach ja und noch was: wenn die PW-Datei ausserhalb der Document-Root abgelegt ist, kannst Du Dir den Verzeichnisschutz sparen. Wie soll der Webserver denn darauf zugreifen können? Liegt doch ausserhalb seines Hoheitsgebiets!
 
Manjo schrieb:
noch einfacher: Passwörter mit md5 verschlüsselt speichern!
stimmt: DB-Passwörter werden meist im Quelltext abgelegt. Habe ich schon (zu) oft gesehen.
Zum Vergrößern anklicken....
Wo würdest du es sonst machen?
 
Manjo schrieb:
Der User, unter dem der Webserver läuft, muss Zugriff auf die Datei haben. Alle andere nicht. Wenn die Datei dem User "Webserver" gehört, kannst Du die Rechte so vergeben:

-rw------- 1 webserveruser webservergruppe 17 Nov 28 22:12 meinedatei

Es ist egal, welche Rechte das Skript, das diese Datei lesen soll, hat! Ob man etwas lesen darf oder nicht hängt von User, Gruppe und den eingestellten Rechten der jeweiligen Datei ab.

----edit----
Stimmt nicht ganz: Der User, dem diese Domain zugeordnet ist, muss Zugriff haben! Bei Plesk z.B. User: loginname, Gruppe: psacln

Ach ja und noch was: wenn die PW-Datei ausserhalb der Document-Root abgelegt ist, kannst Du Dir den Verzeichnisschutz sparen. Wie soll der Webserver denn darauf zugreifen können? Liegt doch ausserhalb seines Hoheitsgebiets!
Zum Vergrößern anklicken....


Vielenn lieben Dank, ich glaub, ich habs kapiert.
 
koli.bri schrieb:
Und das mache ich indem ich der Gruppe "World" keine Rechte gebem und dem Script, was auf die POasswörter zugreift nur Schreibzugriffe gebe?
Weil vor genau dem Problem stehe ich zur Zeit.
Zum Vergrößern anklicken....

hier ist der "klassische" Zugriffsschutz per .htaccess / .htpassw gemeint
 
Wenn ich Zugriff auf die index.php habe, bringt es GARNIX, wenn ich dass Kennwort mit include aus einer anderen Datei hole - denn dann lass ich mir auch die einfach anzeigen...
Diese Methode hat höchstens einen Quellcode-Stil-Charakter, aber sicher nichts mit Sicherheit zu tun
 
Wursti schrieb:
Wenn ich Zugriff auf die index.php habe, bringt es GARNIX, wenn ich dass Kennwort mit include aus einer anderen Datei hole - denn dann lass ich mir auch die einfach anzeigen...
Diese Methode hat höchstens einen Quellcode-Stil-Charakter, aber sicher nichts mit Sicherheit zu tun
Zum Vergrößern anklicken....
Es sei denn die include Datei liegt wie schon gesagt ausserhalb des document root
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten