Welche Funktion hat die php.ini? -Beinhaltet wichtige Einstellungen für PHP. Genannt seien hier u.a. der Speicherort von Cookies, Parameter der Kompilierung,

Slides:



Advertisements
Ähnliche Präsentationen
DI Christian Donner cd (at) donners.com
Advertisements

Warum WordPress Sicherung?
Ausführen.
Befehlssatz und Struktur
Dynamische Seiten mit Dreamweaver Zugriff auf (mysql) Datenbank mit PHP.
oodle BelWü Technische Details
Anleitung Offline-Reader HTTrack
Pflege der Internetdienste
Einbindung des Service Providers: Einfache Web-Applikation, Überwachungssystem NAGIOS 2. Shibboleth-Workshop, Freiburg, Franck Borel, UB Freiburg.
Allgemeine Technologien II
Java: Grundlagen der Sprache
Dateihandles Um in Perl eine bestimmte Datei zum Lesen, Schreiben oder Anhängen zu öffnen, benötigt man so genannte Dateihandles. Ein Dateihandle ist der.
EINI-I Einführung in die Informatik für Naturwissenschaftler und Ingenieure I Kapitel 7 Claudio Moraga, Gisbert Dittrich FBI Unido
EINI-I Einführung in die Informatik für Naturwissenschaftler und Ingenieure I Vorlesung 2 SWS WS 99/00 Gisbert Dittrich FBI Unido
Oracle PL/SQL Server Pages (PSP). © Prof. T. Kudraß, HTWK Leipzig Grundidee: PSP – Internet-Seiten mit dynamischer Präsentation von Inhalten durch Einsatz.
Werkzeuge und Softwareumgebung von Christian Michele.
Technik Gestaltung Navigation Daten. Übersicht Client Webbrowser InternetServer.
Seminar Internet-Technologie Thema: Smarty Templates Vortragender: Christian Voß Datum:
Batch-Programmierung Grundlagen
NetUSE Web Application Framework Kai Voigt NetUSE AG 28. Februar 2003.
Einführung MySQL mit PHP
Seite Common Gateway Interface. Konzepte. Übersicht 1Einleitung 2Was ist CGI? 3Wozu wird CGI verwendet? 4Geschichtlicher Überblick 5Grundvoraussetzungen.
PHP Pakete und Beispiele Webengineering Robert Lemke.
Jetzt lernen wir.
FH-Hof HTML - Einführung Richard Göbel. FH-Hof Komponenten des World Wide Webs WWW Browser HyperText Transfer Protocol (HTTP) via Internet WWW Server.
Einführung Servlets/JSPs
Outlook_03 - Freigabe von Postfächern für Kollegen
SQL PHP und MySQL Referat von Katharina Stracke und Carina Berning
Einstellungen im Web für Outlook
Erste Schritte mit PHP 5 von Max Brandt, 22. September 2006.
8. Workshop - Internetarchivierung 3.1. Erfassung/Bewertung/Transfer Sabine Widmaier, Friedrich-Ebert-Stiftung, Bonn 1 Problembereiche bei der.
EIN CMS MACHT SCHULE Tina Gasteiger.
Grundlagen der sicheren PHP Programmierung Parametermanipulationen und Injektionslücken Stefan Esser Hardened-PHP Project.
Client-Server Modell Advanced IT Basics Nicolas Frings.
Online-Systematiken im Netz
JavaScript.
Moin. Ich benutze PPT 2002 und möchte drei Bilder nacheinander 1
Kostenlose Alternative zu Microsoft Office
Projektarbeit PHP 5.3 / MySQL & Content Management Systems
Einführung in die Programmiersprache C 3.Tag Institut für Mathematische Optimierung - Technische Universität Braunschweig.
Präsentation von Sonja Pathe
PHP und MYSQL am Organisatorisches Der komplette Kurs im Schnelldurchgang Bewertung von wichtig und unwichtig Historisch Kulturwissenschaftliche.
Dynamische Webseiten mit PHP [und Python]
IFB Speyer Daniel Jonietz dj 2 XAMPP - Was ist das? Paket mit: – X – Apache (Webserver) – MySQL oder SQLite (Datenbank) – Perl (Skriptsprache) –
Folgendes kann missbraucht werden: formulare unverschlüsselte login-informationen ungeschützte includes SQL-injection reto ambühler
Anwendungen Servlet II Formular Auswertung Zähler
Hallo Ich möchte einen Text einer Folie nicht einfach nur einfliegen lassen, sondern genau diesen Text, der schon an einer bestimmten Stelle steht, vergrößern.
PHP Basic.
Agenda Rückblick 2. Aufbau der Software Benutzeroberfläche 4. Ausblick
PHP in HTML Von C. Göpfert.
Herbert Walter PIXINSIGHT 1.7 SPEICHERN JPEG Herbert Walter
Dynamische Webseiten-Generierung
Einführung in PHP.
Einführung in PHP 5.
Webseiten mit PHP, SQL, XML und Webservices Anhand praktischer Beispiele.
Mag. Andreas Starzer weloveIT – EDV Dienstleistungen
Einführung OpenSTA. Agenda - über OGVIT - Warum Lasttests - Was ist OpenSTA - Wie arbeitet OpenSTA - Skripte für OpenSTA - OpenSTA Collectors - Tests.
Backup der FTP-Daten mit BYSU (Back Your Space Up von George Ruinelli) Eine mögliche Variante, um FTP- Daten bei dem Provider „All-Inkl“ zu sichern.
Blockseminar Allgemeine Technologien II Dozent: P. Sahle März 2009 PHP in HTML Referentin: Angela Brinck.
Musterlösung IT-Struktur an Schulen © Zentrale Planungsgruppe Netze am Kultusministerium Baden-Württemberg Automatisches Shutdown Über eine Richtlinie.
Webserver Apache & Xampp Referenten: Elena, Luziano und Sükran
Webserver einrichten mit Konfiguration, online stellen, Zugang © by Lars Koschinski 2003.
(Syntax, Strings/Zahlen, Variablen, Arrays)
Dynamische Seiten 13. Juli 2009 Norbert Winnige „Datenbanken in den Geisteswissenschaften“
Formulare Maya Kindler 6c. Allgemein Vom client zum Server form tag eröffnet ein Formular Input tag eröffnet ein Formularfeld.
1 Servlets Stephan Baldes. 2 Was ist ein Servlet? S E R V L E T = Eine auf Java-Technologie basierte Web-Komponente, die von einem Container.
1 JavaServer Pages Stephan Baldes JavaServer Pages Einführung
Es gibt verschiedene Arten von Viren. Hier haben wir einige angeführt.
242/102/49 0/51/59 181/172/166 Primary colors 248/152/29 PMS 172 PMS 137 PMS 546 PMS /206/ /227/ /129/123 Secondary colors 114/181/204.
 Präsentation transkript:

Welche Funktion hat die php.ini? -Beinhaltet wichtige Einstellungen für PHP. Genannt seien hier u.a. der Speicherort von Cookies, Parameter der Kompilierung, XML Support, aber auch wichtige Sicherheitseinstellungen für PHP -Ausgabe der Einstellungen von php.ini unter PHP mit der Funktion phpinfo(); Wo finde ich die Datei? -Die Datei wurde bisher zentral vom Rechenzentrum verwaltet, was auch weiterhin dringend empfohlen wird. Zum wird die Datei nun modifiziert werden. Ausnahmen sind möglich, in diesem Fall kann eine php.ini Vorlage auf den Seiten des RZs heruntergeladen werden. Diese wird dann wie auf der Seite beschrieben im Dateisystem des eigenen virtuellen Hosts abgelegt und vom Rechenzentrum aktiviert. Der Einsatz der Datei erfolgt ausdrücklich auf EIGENE VERANTWORTUNG! Wir empfehlen dringend, weiterhin die zentrale php.ini Datei zu benutzen, da ansonsten nicht gewährleistet werden kann, dass z.B. bei einem Update auf eine neue PHP Version alles so funktioniert wie es soll. Warum wird etwas geändert und welche Auswirkungen hat das auf meine bestehenden Scripte? -Seit der PHP Version ist der Eintrag register_globals in der Konfigurationsdatei standardmäßig auf off gesetzt. Dieser Eintrag betrifft das Sessionmanagment ($_SESSION) sowie die anderen superglobalen Arrays wie $_GET, $_POST oder $_COOKIE, die bisher entsprechend ihres Index-Namens automatisch entpackt und als Variable verfügbar gemacht wurden. Änderung der PHP Konfiguration des Webservers – php.ini formular.html auswertung.php Bisher: register_globals = on

Ist der Wert register_globals auf off gesetzt, kann auf den Wert der Variablen nur noch über das superglobale Array zugegriffen werden! Das vorherige Script würde also nicht mehr funktionieren! Warum die Änderung? Ein Beispiel für ein unsicheres Scrip mit register_globals = off: Dateiname: login.php <?php if ( $pass_ok ) $login_ok = true; if ($login_ok) // Zugriff auf alle geheime Daten gestattet…… ?> In diesem Script wird dem Benutzer Zugang zu geheimen Daten gewährt, wenn die Variable $username vorhanden ist. Ein Hacker kann nun das Script einfach folgendermaßen im Browser aufrufen, um die Variable selber zu setzen: Änderung der PHP Konfiguration des Webservers – php.ini formular.html auswertung.php Neu: register_globals = off session_start(); $_SESSION[´test´] = 5; session_start(); echo $_SESSION[´test´]; Sessionmanagment:

Kleine Hilfe, um nicht allen Code im Script nachträglich ändern zu müssen. Der Code muss an den Anfang JEDES Scriptes. <?php // Bereitstellen der Variablen if(is_array($HTTP_GET_VARS)) { while(list($key,$val) = each($HTTP_GET_VARS)) { $$key = $val; } if(is_array($HTTP_POST_VARS)) { while(list($key,$val) = each($HTTP_POST_VARS)) { $$key = $val; } if(is_array($HTTP_SESSION_VARS)) { while(list($key,$val) = each($HTTP_SESSION_VARS)) { $$key = $val; } ?> Änderung der PHP Konfiguration des Webservers – php.ini Achtung: Das Beispiel zeigt nur, wie die Sessionvariable ausgelesen wird. Um sie zu setzen, MUSS der Syntax nun folgendermaßen sein: session_start(); $_SESSION[´test´] = WERT; session_register() ist nicht mehr notwendig! Verwenden Sie hingegen kein Sessionmanagment auf Ihren Seiten sondern nur POST / GET, so müßte der Code genügen!

Weitere Änderung: allow_url_fopen = off Mit dieser Option lässt sich dynamisch Scriptcode von einer beliebigen URL ausführen….. Hacker verwenden teilweise automatische Scripts, um Webserver nach dieser Option abzusuchen. Man findet dann z. B. solche Eintäge in der Logdatei des Webservers: [28/Sep/2004:18:03: ] "GET /pfad/zu/einem/script.php? variablenname= HTTP/1.0" "-" "Wget/1.8.1" Änderung der PHP Konfiguration des Webservers – php.ini if (!isset($realm)) { include "home.template"; } else { include $realm ; } Bisher: allow_url_fopen = on

Änderung der PHP Konfiguration des Webservers – php.ini Weitere Informationen (u.a. Download dieser Präsentation sowie Download einer php.ini Vorlage) unter: