php: in datei schreiben



  • hallo, kann man mit php in eine andere php-datei (im selben verzeichnis) schreiben?

    geht darum, dass ich die angaben bei install.php gemacht werden in die connect.php reinschreiben will.





  • Geht, aber ist unschön.
    Ich würde da glaube ich eine einfache Konfigurationsdatei vorziehen, etwa in XML, die ich serverseitig vor Zugriff schütze.

    PHPs Dateifunktionen sind leider wie alles, was mit Strings zu tun hat, ziemlich desolat. Spätestens wenn du deine Datei in Unicode enkodierst geht der Spaß so richtig ab ...



  • Ok denn lass ich am besten den Installer weg und schreib ledelig im Readme, dass die MySQL Daten in der Config per Hand einzutragen sind



  • bobobo schrieb:

    Ok denn lass ich am besten den Installer weg und schreib ledelig im Readme, dass die MySQL Daten in der Config per Hand einzutragen sind

    👍
    Die Config wird ja idealerweise eh nur einmal angefasst! Wenn sie steht, steht sie.

    VlG



  • RandomAccess85 schrieb:

    bobobo schrieb:

    Ok denn lass ich am besten den Installer weg und schreib ledelig im Readme, dass die MySQL Daten in der Config per Hand einzutragen sind

    👍
    Die Config wird ja idealerweise eh nur einmal angefasst! Wenn sie steht, steht sie.

    VlG

    Idealerweise kann man die datei bei den meisten leuten dann auch einfach schön downloaden. Hehe. Ist jetzt nicht böse gegen den ersteller gerichtet aber wenn du eine grundfunktion nicht kennst habe ich das gefühl das es bei dir ähnlich sein wird 😉

    :schland:



  • Hä? Das versteh ich jetzt nicht! Wieso kann man die Datei runterladen? Verzeichnisse kann man doch schützen. Stichwort ".htaccess"

    VlG



  • ich denke, er meint, dass man nach dem Setup ja eine bearbeitete config.php zum download anbieten kann, damit sie der Nutzer nur noch in sein Verzeichnis kopieren muss



  • Achso. Dann stellt sich die Sache gleich ganz anders da 😃
    Danke



  • zwutz schrieb:

    ich denke, er meint, dass man nach dem Setup ja eine bearbeitete config.php zum download anbieten kann, damit sie der Nutzer nur noch in sein Verzeichnis kopieren muss

    Nein, er meint dass bei den meisten Pappnasen eine Datei "config.inc" etwa gerade nicht serverseitig geschützt ist und deshalb einfach mit ein wenig Gespür gefunden werden kann. Bei einem gut konfigurierten Server macht das zwar nichts, weil i.d.R. nur der MySQL-Zugriff drinsteht und dieser nur lokale Connections zulassen sollte. Ist aber trotzdem unschön und sollte vermieden werden. Sobald der Server schlecht konfiguriert ist oder je nach Einsatzgebiet öffnest du einem Angreifer sonst Tor und Pforte.



  • árn[y]ék schrieb:

    zwutz schrieb:

    ich denke, er meint, dass man nach dem Setup ja eine bearbeitete config.php zum download anbieten kann, damit sie der Nutzer nur noch in sein Verzeichnis kopieren muss

    Nein, er meint dass bei den meisten Pappnasen eine Datei "config.inc" etwa gerade nicht serverseitig geschützt ist und deshalb einfach mit ein wenig Gespür gefunden werden kann. Bei einem gut konfigurierten Server macht das zwar nichts, weil i.d.R. nur der MySQL-Zugriff drinsteht und dieser nur lokale Connections zulassen sollte. Ist aber trotzdem unschön und sollte vermieden werden. Sobald der Server schlecht konfiguriert ist oder je nach Einsatzgebiet öffnest du einem Angreifer sonst Tor und Pforte.

    jep genau :schland:



  • Hallo,

    davon ausgehend dass die Config ein PHP-Script ist, kann die keiner runterladen! :p

    VlG



  • RandomAccess85 schrieb:

    Hallo,

    davon ausgehend dass die Config ein PHP-Script ist, kann die keiner runterladen! :p

    VlG

    klar kann man das



  • Hallo,

    1. Wie?
    2. Wo legst du deine Verbindungsdaten ab wenn nicht in einem PHP-Script?

    VlG



  • **Wie?
    **
    Lach, na im nubigsten fall einfach mit "Ziel speichern unter" 😃

    wie schon erwähnt besser absichern



  • Öh 😮

    Wat passiert denn deiner Meinung nach bei folgendem Aufruf:
    http://irgendeineurl/admin/config/config.inc.php

    😕

    VlG



  • Im aufruf würde sicher nur eine wieße seite zu sehen sein. Aber wenn ich jetzt hier auf den link (der alles noch viel einfacher macht) mir Rechtsklick "Ziel speichern unter" mache hab ich das file und kann alles lesen ...

    edit:
    man mache einfach solche späße... :

    <Files config.php>
    Deny from all
    </Files>
    


  • Hallo,

    was du speichern kannst ist der durch den Webserver generierte Content, aber nicht den Inhalt des PHP-Scripts...
    Somit ist es auch ungefährlich eine config.php mit wichtigen Dingen zu füllen. Beim Aufruf passiert dann einfach nichts! Außer man macht sowas:

    if ($_SERVER['script_name'] == "config.inc.php") {
     print "Super, du hast die Config gefunden!";
     exit; 
    }
    

    VlG



  • Also ich habs jetzt nicht nach gestellt, aber als ich solche witzeleien probiert hatte hab ich über wget einfach die php dinger ziehen können...?!

    edit:
    vll waren damals auch nur 99% der Server mies konfiguriert ;D. Gibt auch mittel und wege mal den Parser irgend wie zu bremsen. Man kann immer irgendwie alles machen :D:D:D



  • wenn PHP abstürzt und nur als CGI-Plugin läuft, hat man ein Problem.
    Deswegen sollten Config-Dateien mit sensiblen Inhalt auch außerhalb der Reichweite des Webservers liegen



  • Alles richtig. Im Normalfall funktioniert der von PRIEST beschriebene Weg aber natürlich nicht, und das war seitdem ich mit Webdesign zu tun habe (~2003) nie anders.


Anmelden zum Antworten