PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : config.inc.php ???



oliwood2
08.11.2004, 22:01
hi leute, wie ist das nun mit dieser datei.

da steht ja der user und das basswort zur mysql datenbank im plaintext drin.

wenn nun der Ineternetquestaccount auf diese datei mit "lesen" berechtigt ist, was er ja braucht, da sonst das board nicht funktioniert, könnte er dann nicht auch irgendwi an den dateiinhalt rankommen?

Metrax
09.11.2004, 11:25
Wenn ein anderer Benutzer als der Boardadministrator zugriff auf diese Datei hat, solltest du dir Gedanken über die Sicherheit deines Webservers machen.

Gruß

Robert

oliwood2
09.11.2004, 11:32
was heisst ein anderer benutzer als der boardadministrator?

die website ist logischerweise öffentlich, sonst hätte es ja keinen sinn, der IIS prozess läuft folgedessen dann auch im kontext des anonymen internet users, sonst funktionierts ja logischerweise nicht.

wenn ich jetzt die berechtigung rausnehme dass diese anonyme internetaccount zugriff auf die config datei hat, dann funktioniert das board nicht mehr, ist ja auch klar. es ist ja nirgends so programmiert, dass das board via dem systemaccount zugreifen kann, also läuft alles im kontext der internet users, der folglich "read" via http auf diese datei haben muss.

anders al über http kommt er natürlich nicht hin!

Metrax
09.11.2004, 11:37
Sry, unter Windows kann ich dir auch nicht weiterhelfen. Unter Linux gibt es ein gescheiteres Berechtigungssystem. Der IIS hat meines wissens keine Möglichkeit dieses zu nutzen.

Wenn du der einzige bist der auf diesen Server zugriff hat, brauchst du dir keine Gedanken machen. Sind mehrere Leute auf dem Server, solltest du dir die nötigen Tutorials für den IIS besorgen, executables unter einem anderen Benutzer laufen zu lassen.

Auf dem Server von meinem ehemaligen Arbeitgeber hat es der Admin mit nen IIS5 geschafft. Muss also irgendwie gehen.

Holger
09.11.2004, 12:09
Metrax meint das es ein risiko ist wenn mehrer leute local oder halt auch remote zugriff auf den server haben dann könnte dort einer die datei auslesen

oliwood2 <-- ich versteh deine sorge nicht denn wenn du eine *.php per http schlagmichtot aufrufst gibt der server ja nicht den innhalt der datei aus (vorausgesetzt php funzt auf deinem server)

mfg

Snatch
09.11.2004, 13:52
naja, mann könnte sie ja auch mit wget über die Shell saugen, aber selbst das geht nicht :) Kannst die rechte der Datei ja auch etwas anpassen ;)