Eigene php_ini einstellungen
-
- Beiträge: 95
- Registriert: Fr 22.Jun, 2007 06:22
Eigene php_ini einstellungen
also ich möchte register_globals = Off und safe_mode = ON einstellen. dazu muß ich eine eigene php.ini ins forenroot stellen. hab jetzt die einstellungen so hinbekommen das die php-info das selbe anzeigt als wie als wäre es die orginal. nur eben gemischt mit meinen einstellungen.
aber da ich davon nicht so viel verstehe, was die bedürfnisse vom board betrifft, wollt ich fragen ob sich das mal jemand aschauen könnte, ob das ok so ist
die sache ist nur die, soll ich die php.ini hochladen (da spricht sowieso gleich der tracker an)
oder nicht? damit nicht jeder die daten einsehen kann...
aber da ich davon nicht so viel verstehe, was die bedürfnisse vom board betrifft, wollt ich fragen ob sich das mal jemand aschauen könnte, ob das ok so ist
die sache ist nur die, soll ich die php.ini hochladen (da spricht sowieso gleich der tracker an)
oder nicht? damit nicht jeder die daten einsehen kann...
Meine Board-Info: phpBB2 Plus 1.53a - www.quad-elite.de
Also deine php.ini würde ich hier auf keinen Fall veröffentlichen!!!
Wenn dir PHP-Info anzeigt was du haben möchtest, dann hast du nichts falsch gemacht.
Was willst du mehr?
Wenn dir PHP-Info anzeigt was du haben möchtest, dann hast du nichts falsch gemacht.
Was willst du mehr?
[center].: Web Relax .::. Essen mit Freude .::. AmigaLink.de :.
______________________________________
Kein Support per PM, ICQ oder eMail!!![/center]
______________________________________
Kein Support per PM, ICQ oder eMail!!![/center]
-
- Beiträge: 95
- Registriert: Fr 22.Jun, 2007 06:22
ja aber z.b. die ganzen path-angaben, ändern die sich wenn die ini wo anders liegt?
z.b von browscap, include_path? da hab ich das eingegeben was mir die orginale anzeigt.
und ich wollte eben da fragen, ob das phpbb vielleicht paar optimale einstellung benötigt...
z.b von browscap, include_path? da hab ich das eingegeben was mir die orginale anzeigt.
und ich wollte eben da fragen, ob das phpbb vielleicht paar optimale einstellung benötigt...
Meine Board-Info: phpBB2 Plus 1.53a - www.quad-elite.de
Path-Angaben?
Hast du einen Dedizierten Server mit Root-Zugang?
Mal abgesehen davon das sich die Verzeichnispfade, des Systems, nicht ändern. Warum hast du die aufgenommen? Hat dein Hoster dir gesagt du müsstest den kompletten Inhalt der Original php.ini kopieren?
(Das phpBB benötigt keine extra Einstellungen.)
Hast du einen Dedizierten Server mit Root-Zugang?
Mal abgesehen davon das sich die Verzeichnispfade, des Systems, nicht ändern. Warum hast du die aufgenommen? Hat dein Hoster dir gesagt du müsstest den kompletten Inhalt der Original php.ini kopieren?
(Das phpBB benötigt keine extra Einstellungen.)
Zuletzt geändert von AmigaLink am Mo 16.Jul, 2007 20:51, insgesamt 1-mal geändert.
[center].: Web Relax .::. Essen mit Freude .::. AmigaLink.de :.
______________________________________
Kein Support per PM, ICQ oder eMail!!![/center]
______________________________________
Kein Support per PM, ICQ oder eMail!!![/center]
-
- Beiträge: 95
- Registriert: Fr 22.Jun, 2007 06:22
ich bin bei domaingo, und dort ist es die einzige möglichkeit die ini-einstellung zuändern, indem man ne eigene in das verzeichnis setzt wo sie aktiv sein soll. und ich dachte, ich muß wenn ich ne eigene mache, alle einstellung reinschreiben die auch die orginale hat. da ja das system nich paar einstellungen von der orginalen und paar von meiner nimmt.
seh ich das falsch?
phpbb brauch keine speziellen einstellung... aber z.b. register_globals = Off und safe_mode = ON is bei mir orginal ON, OFF.
sowas mein ich was eben für die sicherheit is...
seh ich das falsch?
phpbb brauch keine speziellen einstellung... aber z.b. register_globals = Off und safe_mode = ON is bei mir orginal ON, OFF.
sowas mein ich was eben für die sicherheit is...
Meine Board-Info: phpBB2 Plus 1.53a - www.quad-elite.de
Die php.ini die du erstellen sollst bzw. kannst, ist normalerweise (ich kenne die Arbeitsweise von domaingo nicht) eine Erweiterung zu der bereits bestehenden (Originalen) php.ini. Die darin enthaltenen Einstellungen überschreiben die Einstellungen der Original php.ini. Und das auch nur wenn der Hoster das zulässt.
Alle andere wäre grob fahrlässig von deinem Hoster!
Du brauchst also nur register_globals = Off und safe_mode = ON in deine eigene php.ini eintragen.
Alle andere wäre grob fahrlässig von deinem Hoster!
Du brauchst also nur register_globals = Off und safe_mode = ON in deine eigene php.ini eintragen.
Zuletzt geändert von AmigaLink am Mo 16.Jul, 2007 21:17, insgesamt 1-mal geändert.
[center].: Web Relax .::. Essen mit Freude .::. AmigaLink.de :.
______________________________________
Kein Support per PM, ICQ oder eMail!!![/center]
______________________________________
Kein Support per PM, ICQ oder eMail!!![/center]
-
- Beiträge: 95
- Registriert: Fr 22.Jun, 2007 06:22
hm, das werd ich mal testen...
obwohl, wenn ich dann die ini-info anschaue, dann zeigt es mir bei gültigen path zur ini, die neue an... man, is das wirrwa!
obwohl, wenn ich dann die ini-info anschaue, dann zeigt es mir bei gültigen path zur ini, die neue an... man, is das wirrwa!
Meine Board-Info: phpBB2 Plus 1.53a - www.quad-elite.de
Wie gesagt ich kenne die Arbeitsweise deines Hosters nicht. Ich kann dir nur sagen wie das normalerweise gehandhabt wird, da ich genauso Arbeite.
Fest steht die php.ini ist kein Ding für Unwissende. Von daher wäre es recht Leichtsinnig wenn dein Hoster dir (bei einem Shared-Host Angebot) uneingeschränkten Zugriff darauf gibt und sogar voraussetzt das du, bei Änderungen, die komplette php.ini neu schreibst!
Mal abgesehen davon. Woher hast du die Original php.ini ?
Fest steht die php.ini ist kein Ding für Unwissende. Von daher wäre es recht Leichtsinnig wenn dein Hoster dir (bei einem Shared-Host Angebot) uneingeschränkten Zugriff darauf gibt und sogar voraussetzt das du, bei Änderungen, die komplette php.ini neu schreibst!
Mal abgesehen davon. Woher hast du die Original php.ini ?
[center].: Web Relax .::. Essen mit Freude .::. AmigaLink.de :.
______________________________________
Kein Support per PM, ICQ oder eMail!!![/center]
______________________________________
Kein Support per PM, ICQ oder eMail!!![/center]
-
- Beiträge: 95
- Registriert: Fr 22.Jun, 2007 06:22
hab die alle werte die mir die php-info gezeigt hat, in meine übernommen
aber ich werd nochmal mit meinem hoster sprechen, bevor ich hier was dummes mache
aber ich werd nochmal mit meinem hoster sprechen, bevor ich hier was dummes mache
Meine Board-Info: phpBB2 Plus 1.53a - www.quad-elite.de
Das hatte ich bereits befürchtet.hab die alle werte die mir die php-info gezeigt hat, in meine übernommen
Mach das.aber ich werd nochmal mit meinem hoster sprechen, bevor ich hier was dummes mache
[center].: Web Relax .::. Essen mit Freude .::. AmigaLink.de :.
______________________________________
Kein Support per PM, ICQ oder eMail!!![/center]
______________________________________
Kein Support per PM, ICQ oder eMail!!![/center]
-
- Beiträge: 95
- Registriert: Fr 22.Jun, 2007 06:22
also, ich hab heut mit domaingo gesprochen, und die sagten das wenn ich einstellungen an der php.ini ändern möchte, für jeden ordner in der sie gelten sollen, ein komplette php.ini angelegt werden muß. dafür hat er mir eine anleitung gegeben wie ich die roginal auslesen kann. er sagte, hackern nützt diese angaben nicht viel. der hat, wenn ers schafft sie auszulesen, nur die infos der einstellungen. es geben aber auch scripts um anderweilig dise einstellung rauszubekommen. wie gesagt, die gilt dann auch nur für den order wo sie liegt...
schaden kann der hacker dann auch nur in meinem acount machen, weiter kommt der dann nich. und das auch nur wenn er in meinen fpt-zugang reinkommt. aber dann ist es eh zuspät...
schaden kann der hacker dann auch nur in meinem acount machen, weiter kommt der dann nich. und das auch nur wenn er in meinen fpt-zugang reinkommt. aber dann ist es eh zuspät...
Meine Board-Info: phpBB2 Plus 1.53a - www.quad-elite.de
- oxpus
- Administrator
- Beiträge: 28737
- Registriert: Mo 27.Jan, 2003 22:13
- Wohnort: Bad Wildungen
- Kontaktdaten:
Wie sind die denn drauf?hab heut mit domaingo gesprochen, und die sagten das wenn ich einstellungen an der php.ini ändern möchte, für jeden ordner in der sie gelten sollen, ein komplette php.ini angelegt werden muß.
Und da irrt er sich gewaltig!er sagte, hackern nützt diese angaben nicht viel.
Eine "offene" php.ini ist wie eine Einladung mit einem weit offenen stehenden Scheunentor. Dort sind Angaben enthalten, nach denen sich ein Hacker alle 1.001 Finger leckt.
Und dabei geht es hier nicht um Passwörter oder Zugriffe, sondern andere Informationen, mit denen man (und einigem Wissen) deutlich leichter einen Server aufbrechen kann, als durch's blanke "Probieren".
Die Gefahr einer frei zugänglichen php.ini wird auch hier leider wieder einmal mehr sehr weit unterschätzt...
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
http://www.google.de/search?hl=de&ie=UT ... uche&meta=
Ist genau das gleiche wie eine offene php.ini...
Ich habe meine php.ini nicht öffentlich und auch die phpinfo.php extra versteckt, sodass diese nicht von außen aufgerufen werden kann.
Außerdem ist es mir auch neu, das man in jedem Ordner eine php.ini ablegen muss, man braucht doch nur eine aktiv, oder?
Ist genau das gleiche wie eine offene php.ini...
Ich habe meine php.ini nicht öffentlich und auch die phpinfo.php extra versteckt, sodass diese nicht von außen aufgerufen werden kann.
Außerdem ist es mir auch neu, das man in jedem Ordner eine php.ini ablegen muss, man braucht doch nur eine aktiv, oder?
- oxpus
- Administrator
- Beiträge: 28737
- Registriert: Mo 27.Jan, 2003 22:13
- Wohnort: Bad Wildungen
- Kontaktdaten:
@Twins
Verwechsel nicht die phpinfo mit der php.ini!
Im Grunde zeigt die phpinfo zwar Einstellungen an, die u. a. in der php.ini enthalten sind, aber bei weitem nicht alles
Verwechsel nicht die phpinfo mit der php.ini!
Im Grunde zeigt die phpinfo zwar Einstellungen an, die u. a. in der php.ini enthalten sind, aber bei weitem nicht alles
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
-
- Beiträge: 95
- Registriert: Fr 22.Jun, 2007 06:22
man, hier nehmt ihr mir aber den mut
wa soll ich denn nun machen...? bei dem hoster bleib ich auf jedenfall. der is nämlich echt schnell mit den ladezeiten und so. ich könnt auch nen paket höher gehn, dann hab ich zugriff auf die php.ini...
aber wie soll denn nen hacker meine php.ini auslesen können, wenn ich sie mit .htaccess schütze?
wa soll ich denn nun machen...? bei dem hoster bleib ich auf jedenfall. der is nämlich echt schnell mit den ladezeiten und so. ich könnt auch nen paket höher gehn, dann hab ich zugriff auf die php.ini...
aber wie soll denn nen hacker meine php.ini auslesen können, wenn ich sie mit .htaccess schütze?
Meine Board-Info: phpBB2 Plus 1.53a - www.quad-elite.de
- oxpus
- Administrator
- Beiträge: 28737
- Registriert: Mo 27.Jan, 2003 22:13
- Wohnort: Bad Wildungen
- Kontaktdaten:
.htaccess ist auch nicht das Allheilmittel, denn die dichtet nur so stark ab, wie der Webserver keine weiteren Lücken aufweist.
Und das tut er sicherlich, sonst würden nicht ständig neue Versionen erscheinen.
Daher ist grundsätzlich von solchen Aktionen möglichst abzusehen, egal, wie man diese Teile absichert.
Aber es ist letzlich Deine Entscheidung, ob Du das "Restrisiko" eingehen willst oder nicht. Wir können nur die Vor- und Nachteile aufführen...
Und das tut er sicherlich, sonst würden nicht ständig neue Versionen erscheinen.
Daher ist grundsätzlich von solchen Aktionen möglichst abzusehen, egal, wie man diese Teile absichert.
Aber es ist letzlich Deine Entscheidung, ob Du das "Restrisiko" eingehen willst oder nicht. Wir können nur die Vor- und Nachteile aufführen...
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
-
- Beiträge: 95
- Registriert: Fr 22.Jun, 2007 06:22
hast ja recht oxpus, und ich werd dann auch lieber auf euch hören
aber was ist nun unsicherer, das restrisiko oder die einstellungen register_globals = ON und safe_mode = OFF...
aber was ist nun unsicherer, das restrisiko oder die einstellungen register_globals = ON und safe_mode = OFF...
Meine Board-Info: phpBB2 Plus 1.53a - www.quad-elite.de
- oxpus
- Administrator
- Beiträge: 28737
- Registriert: Mo 27.Jan, 2003 22:13
- Wohnort: Bad Wildungen
- Kontaktdaten:
Es ist so oder so nicht einfach, in den Server einzubrechen, aber das Risiko ist nur so groß, wie der Hacker gut ist.
Das kann morgen schon passieren oder nie.
Davor ist keiner wirklich sicher...
Das kann morgen schon passieren oder nie.
Davor ist keiner wirklich sicher...
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
-={ Das Mädchen für alles }=-
Kein Support per Messenger, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per Messenger, Email or PM. Each unasked message will be ignored!
Sagen wir es mal so: Es ist weitaus schwieriger an die geschützte php.ini ranzukommen und die dadurch erhaltenen Informationen auszunutzen, als register_globals = ON und safe_mode = OFF auszunutzen.
[center].: Web Relax .::. Essen mit Freude .::. AmigaLink.de :.
______________________________________
Kein Support per PM, ICQ oder eMail!!![/center]
______________________________________
Kein Support per PM, ICQ oder eMail!!![/center]
-
- Beiträge: 95
- Registriert: Fr 22.Jun, 2007 06:22
na gut, ich bin eurem wissen erlegen und werd dann alles so lassen.
ich muß nur immer alles ganz genau wissen eh ich zufrieden bin mit dem was ich mach
ich muß nur immer alles ganz genau wissen eh ich zufrieden bin mit dem was ich mach
Meine Board-Info: phpBB2 Plus 1.53a - www.quad-elite.de