Menü
Foren
Neue Beiträge
Foren durchsuchen
Aktuelles
Neue Beiträge
Neue Medien
Kommentare Medien
Letzte Aktivität
Galerie
Neue Medien
Neue Kommentare
Medien suchen
Mitglieder
Zurzeit aktive Besucher
Anmelden
Registrieren
Aktuelles
Suche
Suche
Nur Titel durchsuchen
Von:
Neue Beiträge
Foren durchsuchen
Menü
Anmelden
Registrieren
Install the app
Installieren
Foren
Technik
Computer + Internet
Sichere PHP-Einstellungen auf einem Server/Host
JavaScript ist deaktiviert. Für eine bessere Darstellung aktiviere bitte JavaScript in deinem Browser, bevor du fortfährst.
Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden.
Du solltest ein Upgrade durchführen oder einen
alternativen Browser
verwenden.
Auf Thema antworten
Nachricht
<blockquote data-quote="Joaquin" data-source="post: 15204" data-attributes="member: 1"><p>Ein Server/Host ist oft Angriffen von außen ausgeliefert. Ein besonders beliebter Angriffspunkt sind Schwachstellen durch unsichere Einstellungen in der PHP.INI.</p><p></p><p>Folgende Optionen sollten in der PHP.INI unbedingt ausgeschaltet werden bzw. so wie unten dort eingetragen werden:</p><ul> <li data-xf-list-type="ul"> register_globals = "0"&nbsp; &nbsp; &nbsp; <br /> </li> <li data-xf-list-type="ul"> allow_url_fopen = "0"&nbsp; &nbsp; &nbsp; <br /> </li> <li data-xf-list-type="ul"> allow_url_include = "0" <br /> </li> </ul><p></p><p>Hierbei steht "0" für off, bzw. ausgeschaltet und "1" für on, bzw. ausgeschaltet.</p><p></p><p>Im folgendem noch eine kleine Erklärung zu diesen drei Schaltern und Optionen:</p><p></p><p><strong>register_globals:</strong></p><p>Mit aktiviertem "register_globals" (die Option steht auf "ON") kann auf jeden Variablentyp mit Angabe des Variablennamens ("$variablenname") zugegriffen werden. Dies ist - gerade bei bereits älteren Skripten - oftmals für die Funktionalität des Skripts erforderlich. Andererseits birgt diese Option jedoch einige Sicherheitsrisiken, da böswilligen Angreifern auf diese Weise mehr Ansatzpunkte für einen Angriff gegeben werden. Bei Aktivieren der sicheren Einstellungen wird "register_globals" auf "OFF" gesetzt, d.h. PHP unterscheidet zwischen Variablen, die in einem Skript definiert wurden, Variablen, die in einer Adresse übergeben wurden, Formulareingaben, Variablen aus einem Cookie und Variablen einer Session. Man spricht in diesem Zusammenhang auch von den so genannten "EGPCS-Variablen" ( "$_ENV", "$_GET", "$_POST", "$_COOKIE" und "$_SERVER").</p><p></p><p><strong>allow_url_fopen:</strong></p><p>Bei aktiviertem "allow_url_fopen" (die Option steht auf "ON") ist das Einbinden externer Inhalte von anderen Servern möglich, andererseits erleichtert es den Angriff auf Ihre Skripte durch Dritte ganz erheblich. Mit Aktivieren der sicheren Einstellungen wird die Option auf "OFF" gesetzt und somit deaktiviert.</p><p></p><p><strong>allow_url_include:</strong></p><p>Aktivieren Sie allow_url_include (die Option steht auf "ON"), so ist das Einbinden externer PHP-Skripte von anderen Servern möglich. Diese Option erleichtert den Angriff auf Ihre Skripte durch Unbefugte ganz erheblich. Mit Aktivieren der sicheren Einstellungen wird die Option auf "OFF" gesetzt und somit deaktiviert.</p></blockquote><p></p>
[QUOTE="Joaquin, post: 15204, member: 1"] Ein Server/Host ist oft Angriffen von außen ausgeliefert. Ein besonders beliebter Angriffspunkt sind Schwachstellen durch unsichere Einstellungen in der PHP.INI. Folgende Optionen sollten in der PHP.INI unbedingt ausgeschaltet werden bzw. so wie unten dort eingetragen werden: [list] [*] register_globals = "0" [*] allow_url_fopen = "0" [*] allow_url_include = "0" [/list] Hierbei steht "0" für off, bzw. ausgeschaltet und "1" für on, bzw. ausgeschaltet. Im folgendem noch eine kleine Erklärung zu diesen drei Schaltern und Optionen: [b]register_globals:[/b] Mit aktiviertem "register_globals" (die Option steht auf "ON") kann auf jeden Variablentyp mit Angabe des Variablennamens ("$variablenname") zugegriffen werden. Dies ist - gerade bei bereits älteren Skripten - oftmals für die Funktionalität des Skripts erforderlich. Andererseits birgt diese Option jedoch einige Sicherheitsrisiken, da böswilligen Angreifern auf diese Weise mehr Ansatzpunkte für einen Angriff gegeben werden. Bei Aktivieren der sicheren Einstellungen wird "register_globals" auf "OFF" gesetzt, d.h. PHP unterscheidet zwischen Variablen, die in einem Skript definiert wurden, Variablen, die in einer Adresse übergeben wurden, Formulareingaben, Variablen aus einem Cookie und Variablen einer Session. Man spricht in diesem Zusammenhang auch von den so genannten "EGPCS-Variablen" ( "$_ENV", "$_GET", "$_POST", "$_COOKIE" und "$_SERVER"). [b]allow_url_fopen:[/b] Bei aktiviertem "allow_url_fopen" (die Option steht auf "ON") ist das Einbinden externer Inhalte von anderen Servern möglich, andererseits erleichtert es den Angriff auf Ihre Skripte durch Dritte ganz erheblich. Mit Aktivieren der sicheren Einstellungen wird die Option auf "OFF" gesetzt und somit deaktiviert. [b]allow_url_include:[/b] Aktivieren Sie allow_url_include (die Option steht auf "ON"), so ist das Einbinden externer PHP-Skripte von anderen Servern möglich. Diese Option erleichtert den Angriff auf Ihre Skripte durch Unbefugte ganz erheblich. Mit Aktivieren der sicheren Einstellungen wird die Option auf "OFF" gesetzt und somit deaktiviert. [/QUOTE]
Zitate einfügen…
Name
Authentifizierung
Antworten
Foren
Technik
Computer + Internet
Sichere PHP-Einstellungen auf einem Server/Host
Oben