PHP 4.3

14.5 Sicherheitsmechanismen auf Verzeichnisebene

So wichtig die Verschlüsselung eines Passworts ist - es kann nicht das Ende der Bemühungen um Sicherheit darstellen. Schließlich verwalten viele PHP-Skripte mehr als nur Passwörter der Kunden. Selbst den Namen des Kunden gilt es zu schützen, denn vielleicht legt der Kunde Wert darauf, dass seine Geschäftsbeziehung nicht bekannt wird. Websites, bei denen dies gilt, gibt es im Übermaß - denken Sie allein an die Erotikangebote im Internet.

Wie bereits erwähnt, ist es nicht immer sinnvoll, alle diese Angaben zu verschlüsseln. Es gibt jedoch noch einige Mechanismen, die Sie kennen sollten, um den unbefugten Zugriff auf solche Daten zu verhindern.

Bereits in der Lerneinheit 11 haben wir im Zusammenhang mit den Funktionen include() und require() auf die Bedeutung der Verzeichnisstruktur auf Ihrem Server hingewiesen. Ein Provider legt normalerweise für jeden Benutzer ein Verzeichnis an, meistens auf einem UNIX-Server. Dieses beinhaltet ein sogenanntes Home-Verzeichnis, in dem weitere Verzeichnisse geführt werden; unter anderem auch das, in dem Ihre Webseiten liegen. Dann wird der Webserver so konfiguriert, dass ein Besucher unter Ihrer Domain auf den Inhalt Ihres Webverzeichnisses zugreifen kann. Dieses ist das unsicherste Verzeichnis in Ihrer Webpräsenz, denn es ist öffentlich, also von jedem Web-Terminal dieser Welt erreichbar.

Deshalb ist es besser, sensible Daten einfach außerhalb des Dokumentverzeichnisses des Webservers abzulegen. PHP kann, da es auf dem Webserver installiert ist, ohne Probleme auf diese Daten zugreifen - zum Beispiel über die Funktionen include() und require() bzw. über Lese- und Schreibvorgänge, wie sie ebenfalls bereits in dieser Qualifikationseinheit erläutert wurden. Ein Zugriff per Browser aus dem WWW ist hingegen nicht möglich.

Natürlich ist dieser Schutz nur wirkungsvoll, solange es niemandem außer Ihnen möglich ist, Dateien in einem über das Web erreichbaren Verzeichnis abzulegen - zum Beispiel, über die vorgestellte Upload-Funktion von PHP. Wenn Sie dort Sicherheitslücken lassen, die es dem Besucher ermöglichen, eigene Skripte hochzuladen und auszuführen, wäre jede Bemühung um Absicherung umsonst.

Die erläuterte Möglichkeit zum Schutz von Daten setzt voraus, dass Ihr Server-Betreiber es Ihnen erlaubt, Daten außerhalb des normalen Webverzeichnisses abzulegen. Leider trifft man diese Möglichkeit in der Praxis aber nur begrenzt an. Dafür wird oft die Möglichkeit angeboten, passwortgeschützte Verzeichnisse anzulegen. Was es damit auf sich hat, erfahren Sie im nächsten Abschnitt.

Kommentare (0)

Ihr Kommentar

Name