Hallo,
habe folgendes Problem.
Ich habe mal mit "PHP to date" von Data Becker verschiedene Scripte auf meinen Server gespielt. Leider komme ich nicht in den Adminbereich rein.
Hier die Testeite
http://web1.server1.schwabenhosting.de/ ... /index.php
Name: admin
Passwort: admin
Ich komme da nicht rein, wenn ich jedoch auf einem anderen server dies drauf habe, geht es.
Hat da jemand eine Idee, an was dies liegen kann, bzw. wo ich nachschauen kann.
Gruß vom Neuling Michael
Passowrtschutz in PHP geht nicht so wie es soll.
kann es sein das die Scripte schon ziemlich alt
sind und auf deiner PHP Installation in der php.ini
register_globals auf Off gesetzt ist, für die Scripte
aber auf On gesetzt sein müsste (was sehr unsicher ist)?
Ansonsten kann ich da jetzt Remote nicht viel darüber
sagen. Vielleicht solltest du mal in die Apache Logfiles
gucken ob da irgendwas zum Vorschein kommt.
Bzw Ops: es wäre schön wenn der Beitrag in die dafür
vorgesehene Section verschoben wird
sind und auf deiner PHP Installation in der php.ini
register_globals auf Off gesetzt ist, für die Scripte
aber auf On gesetzt sein müsste (was sehr unsicher ist)?
Ansonsten kann ich da jetzt Remote nicht viel darüber
sagen. Vielleicht solltest du mal in die Apache Logfiles
gucken ob da irgendwas zum Vorschein kommt.
Bzw Ops: es wäre schön wenn der Beitrag in die dafür
vorgesehene Section verschoben wird
Sorry, wenn der Beitrag falsch eingestellt wurde.
Das könnte sein.
Ich schaue mir nachher mal die PHP.ini an und suche mal
nach register_globals und setzte es einfach mal auf Off,
um zu sehen, dass es daran liegt.
Was genau ist daran unsicher ?
Die versteckten Seiten oder allgemeine Server unsicherheti.
Gruß Michael
Das könnte sein.
Ich schaue mir nachher mal die PHP.ini an und suche mal
nach register_globals und setzte es einfach mal auf Off,
um zu sehen, dass es daran liegt.
Was genau ist daran unsicher ?
Die versteckten Seiten oder allgemeine Server unsicherheti.
Gruß Michael
Also, das mit dem Passwortschutz geh nun.
Ich habe in der PHP.ini die "register_globals" auf On gesetzt.
Stellt sich nun folgende Frage:
1. Welche Sicherheitslücke entsteht da ?
2. Kann ich die "register_globals" auch nur für ein einzelnes Web auf On stellen, damit die sicherheit beim rest des Servers nicht beeinflusst wird ?
Gruß Michael
Ich habe in der PHP.ini die "register_globals" auf On gesetzt.
Stellt sich nun folgende Frage:
1. Welche Sicherheitslücke entsteht da ?
2. Kann ich die "register_globals" auch nur für ein einzelnes Web auf On stellen, damit die sicherheit beim rest des Servers nicht beeinflusst wird ?
Gruß Michael
Wenn register_globals auf ON ist, hat ein Hacker oder Cracker
die Möglichkeit in deine PHP Scripte per URL beliebige Variablen
einzuspeisen.
Du willst das hier lesen:
http://www.widiker.de/artikel/a1.phtml?co=yes
Du kannst register_globals per php_flag Direktive in der Apache
config oder in .htaccess Dateien setzen.
Für ein bestimmtes Directory:
Das selbige dürfte auch mit VirtualHost direktiven funtionieren:
Mit .htaccess:
`-> Datei als .htaccess in dem jeweiligen Verzeichnis speichern,
der Webserver muss dazu aber .htaccess Dateien interpretieren.
(Muss in der httpd.conf aktiviert werden)
Die oben genannten Beispiele sind aus dem Kopf, es geht aber auf
alle fälle. Guck dich einfach mal bei Google um.
Ich weis nicht mehr genau ob es php_flag oder php_value war.
die Möglichkeit in deine PHP Scripte per URL beliebige Variablen
einzuspeisen.
Du willst das hier lesen:
http://www.widiker.de/artikel/a1.phtml?co=yes
Du kannst register_globals per php_flag Direktive in der Apache
config oder in .htaccess Dateien setzen.
Für ein bestimmtes Directory:
Code: Alles auswählen
<Directory /pfad/zum/directory/>
[....]
# PHP Flag auf ON setzen
php_flag register_globals ON
</Directory>
Code: Alles auswählen
<VirtualHost hostname:80>
[..]
php_flag register_globals ON
</VirtualHost>
Code: Alles auswählen
php_flag register_globals ON
der Webserver muss dazu aber .htaccess Dateien interpretieren.
(Muss in der httpd.conf aktiviert werden)
Die oben genannten Beispiele sind aus dem Kopf, es geht aber auf
alle fälle. Guck dich einfach mal bei Google um.
Ich weis nicht mehr genau ob es php_flag oder php_value war.
Zuletzt geändert von abi am 09.12.2003 10:19:07, insgesamt 1-mal geändert.
Zum gleichen Thema:
http://www.debianforum.de/forum/viewtop ... highlight=
Siehe
$_GET, $_POST, $_COOKIE
bzw.
$_REQUEST
so kann man sich das ganze register_globals gelumpe sparen.
http://www.debianforum.de/forum/viewtop ... highlight=
Siehe
$_GET, $_POST, $_COOKIE
bzw.
$_REQUEST
so kann man sich das ganze register_globals gelumpe sparen.