[Typo3-german] Newbie mit Sicherheitsproblem

Harald Amelung ha75 at gmx.net
Fri Aug 12 21:42:58 CEST 2005 

Hallo Frank,

frank fox schrieb:
> Das trifft sich gut, denn ich bin bei all-inkl.com :-)
> Allerdeings habe ich noch nie PHP als CGI aktiviert, kann man das in 
> zwei worten erklären.

der Einfachheit halber schicke ich dir mal die Anleitung vom all-inkl 
Support:

---------------------------------------------------------------------------
  all-inkl.com - Kundeninformationen.
---------------------------------------------------------------------------

INHALTSVERZEICHNIS
   1. Veraenderung der Sicherheitseinstellungen fuer PHP

1. ------------------------------------------------------------------------

   PHP ist auf unseren Servern ab morgen in zwei Varianten installiert.
   Die erste Variante ist PHP als Modul. PHP als Modul hat den Vorteil das
   hier die Umgebungsvariablen verfuegbar sind. Desweiteren koennen Sie 
über
   eine .htaccess Datei mit den Anweisungen php_flag bzw. php_value gewisse
   Einstellungen der php.ini auf eigene Wunschvorstellungen setzen.
   Aus Sicherheitsgruenden bei PHP als Modul werden hier aber 
systemkritische
   Befehle wie zum Beispiel exec(),system(),passthru(),shell_exec(),popen(),
   escapeshellcmd() ab Mittwoch gesperrt. Diese Befehle werden aber selten
   von gaengigen Foren, Boards oder ContentManagementsystemen (CMS) genutzt.

   Die zweite Variante ist PHP als CGI. Bei PHP als CGI sind diese 
besonderen
   Befehle freigeschalten, da hier durch die Art der Benutzerverwaltung 
kein
   Sicherheitsrisiko besteht. Bei PHP als CGI sind die Umgebungsvariablen
   nicht auslesbar, zudem koennen keine Aenderungen von Einstellungen der
   php.ini per .htaccess vorgenommen werden.

   Bei beiden PHP Varianten ist der safe_mode off , was von einer Vielzahl
   an Software vorrausgesetzt wird.

   Die zwei PHP Versionen koennen folgendermaßen angesteuert werden.
   Dateien mit den Endungen .php .php3 .php4 sind mit PHP als Modul
   verknuepft und werden durch dieses geparst.

   Wenn Sie Dateien mit PHP als CGI parsen lassen wollen sollten diese die
   Endung .phpx haben.
   Dabei gibt es auch die Moeglichkeit saemtliche Dateitypen für PHP als
   CGI freizuschalten. Dies erreichen Sie ueber eine .htaccess Datei.
   Die .htaccess Datei ist eine normale Textdatei die dann mit folgenden
   Inhalt auf dem FTP Server im gewuenschten Verzeichnis, meistens das
   Stammverzeichnis, abgelegt wird.
   Der Inhalt der .htaccess wäre dann:  AddHandler php-cgi .php .php4

   Bei Fragen oder Problemen steht ihnen unser Support selbstverstaendlich
   per Mail unter support at all-inkl.com oder telefonisch
   werktags von 9:00 - 24:00 Uhr und am Wochenende von 10:00 - 22:00 Uhr
   unter 035872 35340 zur Verfuegung.

   Fuer die Umstaende bitten wir um Entschuldigung.

---------------------------------------------------------------------------
  http://www.all-inkl.com
  Neue Medien Muennich
  16.09.2004
---------------------------------------------------------------------------


Gruß
Harald

-- 
Harald Amelung, BSc | http://www.nuspirit.de

More information about the TYPO3-german mailing list