Was man mit PHP anrichten kann?Zitat
Original geschrieben von Netbek
Ich hab' nen Apache laufen (Apache/2.0.47 (Win32) PHP/4.3.3), allerdings hab' ich aus unsicherheit bei den FTP-Accounts php-files gesperrt, weil ich gar nicht weiss was man mit PHP anrichten kann.
Ist es auf irgend eine Weise fahrlässig, wenn ich jetzt die PHP-files auf dem FTP freigebe, sodass "jeder" irgendwelche PHP-Files uploaden kann?
Was kann man denn mit PHP anrichten?
Kann man zugriffsrechte auf höhere verzeichnisse erlangen?
(Nehmen wir an der root ist ffrosch\ und ne PHP file in f
Ich hab' einfach kaum nen schimmer von php
Achja: Die Maschine läuft auf win2k sp4
Ausserdem hab' ich nen SQL-Server eingerichtet.
Und soviel hab' ich an der PHP.ini nicht geändert, ausser dass es keine fehlermeldungen ausspuckt, wenns fehler gibt.
edit: der thread gehört vielleicht ins programmiererforum, sry, ich depp
Alles.
Ich könnte mit der Möglichkeit meine Scripte auf deinen Rechner hochzuladen und über http auszuführen, nahezu auf dein gesamtes System zugreifen. Da Windows keine Dateirechte ala chmod kennt, kann ich sämtliche Dateien auf deinem Rechner ändern, löschen und einlesen.
Vielleicht bietet da der Save Mode abhilfe, allerdings hab ich keine Ahnung wie man den auf Windowssystemen umsetzt und ob der überhaupt wirkungsvoll funktioniert auf einem Windowssystem.
Also mach dich am besten schlau... sehr schlau bevor du den Upload von PHP-Scripten erlaubst.
Wie gesagt also Stichwort: safe_mode
Frag mal Google.
Und achte auch darauf ob auch die system(), exec(), passthru() und diverse andere Funktionen die auf Kommandozeileebene operieren, durch den safe_mode abgesichert werden.
Zitieren