PHP Fragen (CMS Entwicklung)

[PowerShellAdmin]

ich habe ein skurieles problem.
ich habe das testcms auf eine neuen webspace umgezogen. die db auf den neuen db server aufgespielt und daten überspielt.
das gesamte cms läuft auch, bis ich auf meine config.php die dateirechte ändere !

setze ich die dateirechte auf die config.php auf 0700 ist kein login mehr möglich.
in der config.php liegt der datenbankstring, datenbank benutzer, db etc.

sobald ich die berechtigung auf 0704 setze geht wieder alles.

hierbei ist das problem, sollte der php-pharser ausfallen, werden alle datenbankdaten für diese zeit sichtbar dargestellt= fatale sicherheitslücke

wodran kann das liegen ?

die struktur ist normalerweise:

admin/inc/config.php

hierbei hatte ich auf inc => 0700 vererbt gesetzt (was auf dem alten webspace geht)

nun muss ich
admin/inc/(0704) UND die config.php (0704)

ist der ordner und/oder auf der config.php die 0700 berechtigung funktioniert es nicht

config.php

 <?php

$mysqlhost="localhost";
$mysqluser="user";
$mysqlpwd ="pwd";
mysql_connect($mysqlhost, $mysqluser, $mysqlpwd) or die("Verbindungsversuch fehlgeschlagen");
mysql_select_db(db_name);
?>

 

[Gelöschtes Mitglied 27096]

in das verzeichniss /admin/inc eine .htaccess Datei legen und den Zugriff auf Deny from all setzen.

 

[PowerShellAdmin]

danke für den tipp.

aber normalerweise sollte das doch so funktionieren oder ?

kanns doch nicht sein, webspace alt => geht, webspace neu (selbe berechtigungen) =>geht nicht.

scheint ein problem bei den ownerrechten zu sein, sprich der server tut sich nicht selbst als owner anerkennen... sehr suspekt.

edit:

habe jetzt eine .htaccess in den ordner eingefügt.

inhalteny from all

also es funzt schonmal der login ebenso^^ trotzdem ein komischer fehler...

 

[PowerShellAdmin]

neuer morgen, neue frage.

wie übergebe ich in einem urlaufruf einen wert(mysql ausgabe, der wert ist die zeilen id) an meine $_SESSION.


mit $_GET['variable'] sieht es ja so aus -.-

<a href="seite.de?variable=<? echo $variable; ?>">link</a>

nur ich möchte/will das die variable bei linkaufruf als "aktion" in die session setzen.

danke

edit: im grunde müsste ich nur $_POST als URL nutzen können, da ich eine $_SESSION nicht benötige (wird nur an einer seite genutzt)^^

 

[Seratio]

geht nicht. du kannst bei einem klick auf eine url keinen wert in den session array schreiben. Wenn dann musst du es erstmal per get übergeben und auf der nächsten seite dann praktisch ein $_SESSION['bar'] = $_GET['foo']; machen

 

[PowerShellAdmin]

geht nicht. du kannst bei einem klick auf eine url keinen wert in den session array schreiben. Wenn dann musst du es erstmal per get übergeben und auf der nächsten seite dann praktisch ein $_SESSION['bar'] = $_GET['foo']; machen

das es nicht geht musste ich auch feststellen, werde es wohl über ein hidden formular machen oder $_GET lassen.

per Javaskript geht es wohl, nur javaskript ist nie 100% garantiert beim nutzer :/

edit:

mein webhoster hat mir wegen meiner anfrage geantwortet, jedoch "verstehe" ich es nicht ganz. hier ein auszug:
(es ging darum, dass ich ich keine beschränkten ordner/dateirechte setzen kann, da der server dann nicht mehr diese ausführt(natürlich owner vollzugriff))

Selbst wenn Sie die Rechte auf 777 setzen kann absolut niemand außer Ihnen die Datei lesen, da alle Kunden per open_basedir isoliert sind und Systemzugriffe über ()exec und ähnliche Befehle unmöglich sind.

sowie ich das verstehe ist dies sicher. nur ist es nicht richtig, dass wenn der php/apache server ausfällt, die daten sichtbar werden und sich über den browser einsehen lassen ?

 

[Seratio]

warum sollte ein apache webserver ausfallen? wenn er ausfaellt, ist er komplett weg und zeigt garnichts mehr an. ein solches scenario schafft man nur durch eine fehlkonfiguration.

 

[PowerShellAdmin]

warum sollte ein apache webserver ausfallen? wenn er ausfaellt, ist er komplett weg und zeigt garnichts mehr an. ein solches scenario schafft man nur durch eine fehlkonfiguration.

phpinterpreter kann ausfallen z.b. -.-, wartungsarbeiten/update etc

 

[sabermaul]

phpinterpreter kann ausfallen z.b. -.-, wartungsarbeiten/update etc

Für so einen Fall würde ich einfach eine index.html im root Verzeichnis unterbringen, die dann eine Fehlermeldung anzeigt.

PS: Ich bastel gerade auch an meinem CMS für meine HP
Benutzerverwaltung lasse ich aber weg - benutze eh nur ich.
Derzeit bin ich dabei, einen Blog sowie eine Kommentarfunktion zu basteln (als function, dann kann ich das komfortabel in vielen Seiten unterbringen).

 

[PowerShellAdmin]

naja .htacess ins verzeichnis, das funktioniert und gut.
hat mich nur alles etwas verwundert, nehme auch an dass die sicherheit nicht on the top war, aber dem ist ja abgeholfen.

funktionen habe ich auch im hinterkopf, mich aber noch nicht rangewagt, mir fehlt einfach der kopf nach der arbeit
habe zurzeit ne news-kategorie-verwaltung und es ist argh unübersichtlich bei ca. 6000 zeichen code (kommt noch einiges dazu), grade die escaped mysql abfragen sollte man in funktionen reduzieren können.

das mit den kommentaren ist ja ne feine sache, sollte ja recht leicht zu realisieren sein. wollte ich allerdings nocht nicht, mal schauen ob ich das nochmal ergänze.denn das benötigt die endseite, für die ich an der eingabe arbeite nicht.

ende vom lied, man kommt garnicht vorwärts, außer man hat mal 1 tag zeit .... und das ist wirklich nahezu unmöglich neben der arbeit, da dass wochenende anderem gehört ... brauche wieder urlaub