Include-Dateien richtig benennen

Schnell ist man in Versuchung, eine Include-Datei in PHP mit der Endung .inc zu versehen, also

include "myfuncs.inc“;

Das funktioniert auch ganz prima, hat aber einen Haken: Jeder, der den Dateinamen kennt, kann von jedem Browser aus in Ruhe den PHP-Quellcode dieser Datei ansehen.

Im besten Fall klaut er sich eine Idee, im schlechtesten findet er einen Weg Ihren Server zu knacken. Deshalb gilt immer: Alle Dateien, in denen PHP-Code steckt, müssen auch die Endung php tragen.

Mehr dazu:

RSS Abonnieren

Facebook

Del.icio.us

Twitter

Aktualisiert am: 29.11.2005

Kommentar schreiben

Ich benenne meine Include-Dateien immer in
*.inc.php
so gehen sie durch den Parser und ich kann sie auf Anhieb erkennen.
[Matthias | 05.08.2007] Antworten

(FilesMatch "\.inc$")
Order allow,deny
Deny from all
(/FilesMatch)
Spitze Klammern werden wohl geschluckt. Daher das Beispiel mit Runden.
[Frank Hornung | 28.06.2007] Antworten

Alternativ zu den Möglichkeiten von Sebastian kann man beim Apache
.inc Dateien noch zusätzlich sichern.
Order allow,deny
Deny from all
Je nach Servereinstellung geht auch das per .htaccess.
[Frank Hornung | 28.06.2007] Antworten

Jedoch gibt es zwei möglichkeiten, Datein .inc zu nennen und troztdem
sicher zu sein, das niemand es so schnell Knacken wird.
Zum einen, kann man den Server dazu veranlassen, INC-Datein wie
PHP-Datein zu behandeln, sie also durch den PHP-Parser schicken.
Die Zweite möglichkeit ist es, jeden Zugriff auf das Verzeichniss, in
dem alle INC-Datein liegen sollten, zu sperren.
Dazu einfach eine Datei mit dem Namen ".htaccess" erstellen. In diese
dann folgenden Code schreiben:
"Deny from All"
Natürlich beide male OHNE ".
[Sebastian | 17.12.2005] Antworten

Zurück Startseite