Wie sicher ist eigentlich PHP?

[Netbek]

Ich hab' nen Apache laufen (Apache/2.0.47 (Win32) PHP/4.3.3), allerdings hab' ich aus unsicherheit bei den FTP-Accounts php-files gesperrt, weil ich gar nicht weiss was man mit PHP anrichten kann.

Ist es auf irgend eine Weise fahrlässig, wenn ich jetzt die PHP-files auf dem FTP freigebe, sodass "jeder" irgendwelche PHP-Files uploaden kann?

Was kann man denn mit PHP anrichten?
Kann man zugriffsrechte auf höhere verzeichnisse erlangen?
(Nehmen wir an der root ist ffrosch\ und ne PHP file in ffrosch\halunk\ möchte auf ffrosch\naja.html lesen bzw. schreiben. Geht das?)

Ich hab' einfach kaum nen schimmer von php

Achja: Die Maschine läuft auf win2k sp4

Ausserdem hab' ich nen SQL-Server eingerichtet.
Und soviel hab' ich an der PHP.ini nicht geändert, ausser dass es keine fehlermeldungen ausspuckt, wenns fehler gibt.

edit: der thread gehört vielleicht ins programmiererforum, sry , ich depp

[Chocwise]

Original geschrieben von Netbek
Ich hab' nen Apache laufen (Apache/2.0.47 (Win32) PHP/4.3.3), allerdings hab' ich aus unsicherheit bei den FTP-Accounts php-files gesperrt, weil ich gar nicht weiss was man mit PHP anrichten kann.

Ist es auf irgend eine Weise fahrlässig, wenn ich jetzt die PHP-files auf dem FTP freigebe, sodass "jeder" irgendwelche PHP-Files uploaden kann?

Was kann man denn mit PHP anrichten?
Kann man zugriffsrechte auf höhere verzeichnisse erlangen?
(Nehmen wir an der root ist ffrosch\ und ne PHP file in ffrosch\halunk\ möchte auf ffrosch\naja.html lesen bzw. schreiben. Geht das?)

Ich hab' einfach kaum nen schimmer von php

Achja: Die Maschine läuft auf win2k sp4

Ausserdem hab' ich nen SQL-Server eingerichtet.
Und soviel hab' ich an der PHP.ini nicht geändert, ausser dass es keine fehlermeldungen ausspuckt, wenns fehler gibt.

edit: der thread gehört vielleicht ins programmiererforum, sry , ich depp

...

Was man mit PHP anrichten kann?
Alles.
Ich könnte mit der Möglichkeit meine Scripte auf deinen Rechner hochzuladen und über http auszuführen, nahezu auf dein gesamtes System zugreifen. Da Windows keine Dateirechte ala chmod kennt, kann ich sämtliche Dateien auf deinem Rechner ändern, löschen und einlesen.

Vielleicht bietet da der Save Mode abhilfe, allerdings hab ich keine Ahnung wie man den auf Windowssystemen umsetzt und ob der überhaupt wirkungsvoll funktioniert auf einem Windowssystem.

Also mach dich am besten schlau... sehr schlau bevor du den Upload von PHP-Scripten erlaubst.

Wie gesagt also Stichwort: safe_mode
Frag mal Google.

Und achte auch darauf ob auch die system(), exec(), passthru() und diverse andere Funktionen die auf Kommandozeileebene operieren, durch den safe_mode abgesichert werden.

[Netbek]

Gut, jetzt wissen meine "Kunden", dass ich nicht paranoid bin bzw. ich kann entsprechende Argumente liefern.

Dann wart' ich mit der freigabe erstmal und informier mich genauer drüber.

Vielen Dank noch !

edit:
Ich hab' ja dennoch diverse PHP-Anwendungen auf dem Server. zB. woltlab burning board 1.2 und 2.0 sowie phpBB

Gibt es zB. vom Admin-CP aus, die Möglichkeit die Stylesheets zu konfigurieren. Wenn ich das richtig sehe, werden die auf der Datenbank gespeichert. Werden diese stylesheets auf irgend eine weise vom server geparst, sodass theoretisch reingeflickter php-code in den stylesheets vom server ausgeführt wird?
Ich denke nicht, aber wissen tu' ich es auch nicht
Vielleicht sollte ich mal ein PHP-tut lesen

Gibts es andere bekannte Leaks durch die Software die nur bei windows auftreten können, davon ausgegangen der hacker (Ich denke da an fanrpg ) kenne das board-admin pass