On Fri, 10 Sep 2004 13:04:55 +0200 Rico Ludwig heckpart@web.de wrote:
Am Fr, den 10.09.2004 schrieb Christoph Mueller um 12:02: Bist eben ein gefährlicher Hacker ;) Wenn sie nur ansatzweise clever sind, nehmen sie sich trotzdem deine Hinweise zu Herzen und ändern was an der Lage. Vertrauenerweckend sind solche zustände aber in der Tat nicht... Da ist man doch lieber sein eigener Hoster ;)
das ist soeben geschehen, nur fürs Protokoll :)
---
all-inkl.com - Kundeninformationen.
PHP ist auf unseren Servern ab sofort in zwei Varianten installiert. Die erste Variante ist PHP als Modul. PHP als Modul hat den Vorteil das hier die Umgebungsvariablen verfuegbar sind. Desweiteren koennen Sie über eine .htaccess Datei mit den Anweisungen php_flag bzw. php_value gewisse Einstellungen der php.ini auf eigene Wunschvorstellungen setzen. Aus Sicherheitsgruenden bei PHP als Modul sind hier aber systemkritische Befehle wie zum Beispiel exec(),system(),passthru(),shell_exec(),popen(),escapeshellcmd() gesperrt. Diese Befehle werden aber selten von gaengigen Foren, Boards oder ContentManagementsystemen (CMS) genutzt.
Die zweite Variante ist PHP als CGI. Bei PHP als CGI sind diese besonderen Befehle freigeschalten, da hier durch die Art der Benutzerverwaltung kein Sicherheitsrisiko besteht. Bei PHP als CGI sind die Umgebungsvariablen nicht auslesbar, zudem koennen keine Änderungen von Einstellungen der php.ini per .htaccess vorgenommen werden.
---
mfg Andre Leubner