Zudem habe ich eine .htaccess-Datei in das Verzeichnis sources hochgeladen mit folgendem Inhalt:Deny from all
Dies verhindert jeglichen Zugriff auf die darin befindlichen Dateien ueber den Webserver. Weiterhin ist der "Zugriff" per include()-Anweisung moeglich - solange ausreichend Lese-Zugriffsrechte existieren (und nicht Ausfuehrungsrechte, wie viele glauben!).
Also: Wenn ihr wisst, dass z.B. ein Verzeichnis inc nicht von aussen erreichbar sein brauch (weil dort nur Include-Dateien sich befinden), dann packt einfach die besagte .htaccess-Datei dort mit dem obrigen Inhalt rein.
Beachtet aber, dass einige (aengstliche) Hoster die .htaccess-Dateien komplett deaktiviert haben koennen! Dann bringt der Schutz per .htaccess nichts.
Zudem solltet ihr z.B. in der index.php oder modules.php (wie auch immer die extern erreichbaren Dateien heissen moegen!) eine Zeile einfuegen...
define('FROM_SCRIPT', true);
... und dann in allen (!) Include-Dateien die folgenden Zeilen einbauen:
if (!defined('FROM_SCRIPT')) {
die("Nice try...");
}Das verhindert ebenfalls das direkte Aufrufen von Include-Dateien und kann euch einige tausend Euro ersparen.
Es gibt natuerlich noch viel viel mehr zu beachten! Aber das waere jetzt hier zu viel verraten...
So weit erstmal gutes Naechtle!
Roland
_______________
News-Flash: - Bitte den Bug-Tracker mehr nutzen! - Wiki verfuegbar - Bitte die neuste GIT-Revision von dieser Anleitung - Topic 180 herunterladen - Bug-Rallye gestartet! - Historisches Archiv angelegt - SVN-Howto - Commit-Statistik Feb 2008 - dato
« Last edit by Quix0r on Wed Mar 28, 2007 2:41 am. »