PHP Code in einem Verzeichnis verbieten

[sulospace]

Guten Abend,

wie kann ich in einem bestimmten Unterverzeichnis meiner Domain PHP Code verbieten?

mfg knuppel

[theHacker]

Welchen Webserver verwendest du? Apache?

[sulospace]

Apache.

Es geht um ein Image Upload Verzeichnis.Wenn dort eine PHP Datei hochgeladen wird (von einem Nutzer) dann soll diese nicht ausgeführt werden dürfen.
Natürlich lädt das Upload Programm nur Grafik Dateien hoch.Will das als weitere Sicherheitsmaßnahme.

[theHacker]

Für das Verzeichnis schreibst du in deine httpd.conf ein neues <directory>-Tag. Dortdrin definierst du einfach per

Code:

1:
AddType text/plain .php

, dass eine .php-Datei nur ein langweiliges Textfile is.

(Alle Angaben ohne Gewähr. Hab ich selber noch nie gemacht sowas)

[DelphiKing]

Hm, sollte doch ansich auch über eine .htaccess gehen ... kenne mich mit dem Apache nicht so aus (mag den nicht ), aber meine, da neulich zufällig was drüber gelesen zu haben.

Würde einem das relativ unflexible Rumschrauben an der Serverconfig ersparen.
Die Nachteile der htaccess-Files hat man ja so oder so, dann kann man sie ja auch nutzen ^^

[sulospace]

Werde ich mal versuchen und mich dann mal melden.

Danke.

[theHacker]

http://httpd.apache.org/docs/2.2/mod...e.html#addtype
Jupp, sollte auch in der .htaccess funktionieren.

[Darklord]

Dürfte nich eine .htacces Datei mit dem Inhalt reichen?

Code:

1:
2:
Order deny,allow
Deny from all

Damit wird einfach das Verzeichniss für den direkten Aufruf gesperrt.
Kann mich aber auch täuschen.

[theHacker]

@Darklord:
Dann kriegt jeder n 403, der auf irgendeine Datei drauf zugreifen will.
Also absolut kontraproduktiv, weil dann gar nix mehr geht

[Darklord]

Ich sage ja das ich mich auch täuschen kann...
Bin davon ausgegangen das die Bilder in einem seperaten Verzeichnis liegen auf in dem nichts anderes ausser die Bilder sind.

[DelphiKing]

Zitat:

Zitat von Darklord

Bin davon ausgegangen das die Bilder in einem seperaten Verzeichnis liegen auf in dem nichts anderes ausser die Bilder sind.

Selbst wenn - dann kann man halt nicht mehr auf die Bilder zugreifen... macht aber bei nem Bilderhoster immernoch keinen Sinn

[BAERnado]

Wenn ich das richtig verstehe, werden eh nur Bilddateien, also gif,jpeg,png zum Upload angenommen. Für diese ist ein weiterer Eintrag in der Apacheconfig, bzw in der htacess nicht notwendig, da diese im Normalfall eh nicht über den PHP-Interpreter gejagt werden. Ein Eintrag wäre nur dann notwendig, würde du es doch parsen wollen.
Solltest halt nur sicherstellen, dass dass PHP-relevante Endungen nicht akzeptiert werden.

[DelphiKing]

Hm, ich hab mir jetzt extra Post #1 und #3 nochmal durchgelesen. Er ist nicht gerade das beste Beispiel für einen guten, klaren Post, aber so unverständlich ist er doch eigentlich auch nicht, oder?

[Darklord]

So, frisch ausgeschlafen.

PHP Code verbieten kann man in dem man für das Verzeichniss in der VirtualHost Config php_admin_flag engine off einstellt. Damit wird kein PHP Code mehr geparst.

Ansonsten ist bist du mit der Lösung von TH gut bedient.

[sulospace]

Das Problem ist jetzt auch das es trotzdem geschafft wird php Dateien hochzuladen und zwar mit der Endung *.jpg.php .Da hat jetzt schon mancher Hacker versucht was hochzuladen.

Das kann aber gut an dem Script liegen das ich benutze,da ich an meinen Statistiken sehe das gezielt Leute das Copyright des Scriptes bei Google suchen und dann auf meiner Seite landen.

Verdammt!
Da muss ein anderes her.