[PHP] directory met upgeloade bestanden beveiligen

Maak een invoerveldje erbij waar een wachtwoord ingevuld moet worden bij elke actie die je uitoefent met betrekking tot bestanden? Beetje n00bistisch is het wel, maar het werkt wel.

Tja, dan is bovenstaande suggestie beetje nutteloos. Maar ik mag toch aannemen dat je webspace provider dit ook behoort te weten als dat nog niet zo is? Ik bedoel: behoorlijk lek in de veiligheid op deze manier.

Persoonlijk denk ik dat zij de enigen zijn die daar wat aan kunnen doen.

um volgens mij kan je met behulp van php en apache idd op andermans webserver komen, maar wanneer je isp het een beetje goed voor elkaar heeft kan dit uitgezet worden (bepaalde comando's van php blocken enzo)

maar wat jij kan doen behalve zelf chmodden is denk ik niet zoveel

probeer is met php commando system te kloten en kijk is wat je te weten komt over de beveiliging

en probeer is bij een andere gebruiker iets nutteloos weg te schrijven. zodra dit kan kan je dit melden aan je isp. zo niet.. kunnen zij het ook niet

[ Voor 3% gewijzigd door BasieP op 10-12-2003 20:26 ]

Yep misschien kan je het Kopieren en de rechten van het bestand veranderen in je PHP schript.

Hier heb je wat winnt command-line commando's, waar je eens mee zou kunnen expirimenteren:

http://www.ss64.com/nt/

volgens mij (ik weet het niet voor 100% zeker) kunnen andere gebruikers op dezelfde server niet schrijven in die directory's. Ze kunnen de bestanden wel zien, maar niet openen om te lezen. Het enige boeiende wat ze kunnen doen is de directory listing bekijken.
Je kunt het beste een mailtje sturen naar de provider en vragen hoe het met de beveiliging zit. Ook kun je (zoals eerder gemeld) zelf proberen iets nutteloos te uploaden in een map van een andere gebruiker en deze weer proberen te verwijderen, dan weet je het meteen zeker.

Je mag er in principe vanuit gaan dat je ISP alles wel op orde heeft, dus dat het niet mogelijk is andersmans bestanden te verwijderen (ook al hebben de bestanden httpd als user).

Verwijderd schreef op 11 december 2003 @ 11:57:
Je mag er in principe vanuit gaan dat je ISP alles wel op orde heeft, dus dat het niet mogelijk is andersmans bestanden te verwijderen (ook al hebben de bestanden httpd als user).

Je moet daar uit principe juist niet van uit gaan! Ik weet niet hoeveel ISP´s hebben hun zaakjes juist niet op orde. Als je het hebt over PHP scripts dan heeft de ISP een aantal mogelijkheden. Meestal wordt gekozen voor een safe_mode maar dat legt dan weer beperkingen op aan je PHP scripts. Een andere mogelijkheid is open_basedir waarmee je een user kunt beperken tot zijn /webdir. Het beste is eens navragen.

Waar je misschien wel een beetje van mag uitgaan is dat andere klanten van die ISP op die server helemaal niks te zoeken hebben op jouw webruimte. Is er aanleiding om te denken dat die mensen van plan zijn om bestanden weg te schrijven op jouw ruimte?

Een ISP is verantwoordelijk voor de veiliheid van de gegevens van zijn klanten. Een ISP zal dan ook zo min mogelijk risico willen lopen. Is er namelijk een veiligheidslek waarvan zij de oorzaak zijn, dan kost dat klanten, dus omzet, en krijgen ze een slechte naam. Een goede ISP zal dan ook zoveel mogelijk doen om dit soort problemen te voorkomen. Verder is dit een vrij standaard probleem waar iedere webhosters wel eens tegenaan loopt en er dus ook een oplossing voor heeft. Ik vind niet dat je er uit principe niet vanuit moet gaan.