Sicherheitsfrage zu PHP

Kai-Behncke · 25.06.2008, 16:24

Hallo liebes Forum,

ich habe eine Frage zu folgendem Skript:

Code:

<?php

$file = fopen("http:x.x.x.x/ihab/test.txt","w") or exit("Unable to open file!");

echo fwrite($file,"Hello World. Testing!");

fclose($file);

?>

Das "w" sorgt ja dafür dass eine Datei angelegt wird, wenn diese noch nicht existiert.

....inwiefern kann ein solches Skript ein Sicherheitsrisiko sein?
Ist es damit nicht theoretisch möglich dass jemand von außen in irgendwelche Verzeichnisse irgendwelchen Code schreibt?
Im Prinzip geht es doch aber nur wenn im Server die Apache-usergruppe oder aber der "unbekannte user" Schreibzugriff hat, oder?
Oder wird das Schreibverhalten auf einen Server noch in der php.ini gesteuert?

Vielen Dank im Voraus, Kai

maxi89 · 25.06.2008, 16:52

Bei einem Script wie diesem, wo es keine einzige Variable gibt, die von außerhalb (z.B. durch Eingabe des Dateinamens durch Benutzer) geändert werden, ist das Risiko ziemlich gering, weil das Script ja nur das macht, was du selber reingeschrieben hast (Hardcoded nennt man das).
Wenn der Text, den du da später mal reinschreiben lassen willst, aus einer Benutzereingabe kommt, besteht lediglich das Risiko, dass dir jemand PHP-Code in die Datei schreiben lässt, der aber dann letztendlich nicht ausgeführt wird, wenn der Server vernünftig konfiguriert ist, und PHP-Code in .txt-Dateien nicht beachtet (ist normalerweise so).

Schreibzugriff hat der Apache generell nur auf die Dateien, die mit Schreibzugriff für die Gruppe bzw. den Benutzer des Apache-Dienstes (meist www/wwwrun) versehen sind. Oder mit Schreibzugriff für alle.
Lesend kann der Apache aber auf alle Dateien zugreifen, die nicht explizit nur für den Eigentümer lesbar gemacht wurden.

Kai-Behncke · 25.06.2008, 17:01

Hallo Maxi 89, vielen Dank erstmal für die Antwort.

Das konkrete Problem ist folgendes: Auf dem Server laufen auch einige kleinere Homepages. Das Skript, so wie ich es gepostet habe, funktioniert nicht. Der Server erlaubt nicht dass eine Datei angelegt wird.

Ein Arbeitskollege möchte nun aber genau das. Er möchte von seinem Arbeitsplatz auf dem Rechner per Skript Dateien anlegen.
Ok, eine txt-Datei wäre nicht schlimm, wenn aber jemand nun eine PHP-Datei dort anlegt?

Und generell: Damit das Skript laufen kann muss ich ja "anonymen Usern" Schreibzugriff gestatten, oder? Wäre das nicht ein gigantisches Risiko?

maxi89 · 25.06.2008, 18:15

Der Fehler, dass die Datei nicht angelegt werden kann, könnte oder wird daher rühren, wie du den Pfad zu der Datei angibst.
Generell gibt man den Pfad zu der Datei nicht als URL (wie du es gerade machst), sondern als Serverpfad an.
Wenn die Datei im gleichen Ordner angelegt werden soll, in dem auch das PHP-Script liegt, wird der Pfad so angegeben:

Code:

$file = fopen("./test.txt","w");

Oder wenn es in Unterordner gehen soll
[/code]
$file = fopen("./ihab/text.txt","w");
[/code]

Wenn auch dann die Datei nicht erstellt werden kann, braucht der Ordner, in dem die Datei liegt Schreibrechte für den Webserver oder anders ausgedrückt: alle User.
Das ist zwar ein gewisses (aber dennoch vergleichsweise geringes) Risiko, denn das heißt nicht, dass jeder Hinz und Kunz Daten hochladen kann, der Webserver kann nun halt auch schreibend auf die Daten mit der entsprechenden Berechtigung zugreifen.
Wenn du nun aber selber die Textdatei über FTP erstellst und nur diese Datei mit Schreibrechten für alle versiehst, kann der Webserver nur auf diese Datei Schreibzugriffe ausführen.

Kai-Behncke · 26.06.2008, 15:12

Alles klar, vielen lieben Dank :-)