Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

t3n 9

Neue Möglichkeiten der Interaktion benötigen einen verstärkten Schutz: Anwendungen im Web 2.0 absichern

Seite 3 / 5

PHP

allow_url_include = Off

Listing 3

Dadurch wird verboten, dass URLs (z. B. http:// oder ftp://) in Verbindung mit „include()“- oder „required()“-Anweisungen verwendet werden können.

PHP

allow_url_fopen = Off

Listing 4

Über die Direktive „allow_url_fopen“ kann PHP eine URL wie eine lokale Datei behandeln und URLs an jede PHP-Funktion, die einen Dateinamen erwartet, etwa „readfile()“ oder „fopen()“, übergeben. Wird das nicht ausgeschaltet, erhalten Angreifer die Möglichkeit, Remote-Code auf dem Server ausführen zu lassen.

Bei MySQL sollte jeder Account, der Rechte auf mehrere oder alle Datenbanken hat (Admin-Account), nur über den Localhost verwendet werden. Wenn kein externer Zugriff auf die Datenbank benötigt wird und die Datenbank über Sockets ansprechbar ist, lässt sich die komplette Netzwerkfunktionalität des MySQL-Daemon mit folgender Anweisung in der „my.cnf“-Datei abstellen:

PHP

skip-networking

Listing 5

Ein erlaubter externer Datenbankzugriff bedeutet immer ein gewisses Risiko, da der Server zum Beispiel über eine Brute-Force-Attacke angegriffen werden kann. Folgende Anweisung bindet den Server an eine feste IP- Adresse:

Finde einen Job, den du liebst

Bitte beachte unsere Community-Richtlinien

Schreib den ersten Kommentar!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden