Skip to content...

Häufig gestellte Fragen

Warum ist "register_globals" in der php.ini deaktiviert?

Seit längerer Zeit wird empfohlen, diese Einstellung auf off zu stellen, um die Sicherheit von PHP-Scripts zu erhöhen. Die PHP-Dokumentation schreibt dazu:

Ein Feature von PHP zur Erhöhung der Sicherheit ist die Konfiguration von PHP mit register_globals = off. Mit Deaktivierung der Möglichkeit, irgendeine vom Benutzer übertragenen Variable in den PHP Code zu injizieren, können Sie die Anzahl “vergifteter” Variablen reduzieren, welche ein potentieller Angreifer zufügen könnte. Dieser benötigt mehr Zeit, um sich Übermittlungen auszudenken, und Ihre internen Variablen sind effektiv von den übergebenen Benutzervariablen isoliert. Während dies den benötigten Aufwand mit PHP zu arbeiten leicht erhöht ist dargelegt, dass die Vorteile gegenüber dem Aufwand klar überwiegen.

Seit PHP 4.2 ist die Einstellung standardmäßig auf off, in PHP6 wird diese Einstellung gar nicht mehr vorhanden sein.

Wir haben daher beschlossen, diese Einstellung auf off zu belassen, da mittlerweile auch die meisten der Programme auf das neue System umgestellt wurden. Da bei qwws.net die PHP-Scripts mittels suPHP (und nicht wie üblich mit Hilfe des mod_php Moduls für Apache) ausgeführt werden, kann diese Einstellung leider auch nicht für einzelne Domains aktiviert werden.

Wenn Sie trotzdem in Ihrem Script die gewohnten Variablen verwenden möchten, können Sie diese z.B. mit folgender Schleife am Programmbeginn registrieren:

$expected = array("name", "password");
foreach ($expected as $var) $$var = $_REQUEST[$var];

Im Array $expected tragen Sie jene Variablen ein, die Ihr Script als Eingangsparameter erwartet.

Warum ist der Safe-Mode nicht aktiviert?

Die PHP-Scripts auf unseren Webservern werden mittels suPHP ausgeführt. Dies bedeutet, dass diese nicht wie üblich unter der Benutzerkennung des Webservers gestartet werden, sondern als jener Benutzer dem die Domain gehört.

In diesem Fall ist also der Safe-Mode nicht notwendig ist, da die Sicherheitsmaßnahmen des Safe-Mode bereits durch das Rechtekonzept des Systems implementiert sind.

Für Sie als Kunde bietet dies den Vorteil, dass Ihre Scripts, Dateien und Verzeichnisse auch ohne Safe-Mode geschützt sind, und Sie auch PHP-Befehle wie shell_exec() benutzen können.

Wichtig: Damit ein PHP-Script von suPHP ausgeführt wird, muss der Besitzer der Datei mit dem Benutzer dem die Domain gehört übereinstimmen und die Gruppe muss auf users gesetzt sein. Außerdem darf das Script keinen größeren Modus als 755 besitzen, d.h. es darf nicht von Benutzern der Gruppe oder anderen Benutzern schreibbar sein.

Welchen Hostnamen hat der MySQL-Server?

Der Hostname lautet immer “localhost”, weil der MySQL-Server nur lokal von den Webservern erreichbar ist. Wie Sie mit Hilfe eines SSH-Tunnels trotzdem von Ihrem Rechner den MySQL-Server erreichen können finden Sie im MySQL-Artikel.

 
faq.txt · Zuletzt geändert: 2009/01/03 13:55
 
Recent changes RSS feed Creative Commons License Powered by PHP Valid XHTML 1.0 Valid CSS Driven by DokuWiki