Dateiattribute bei Einbindung von PHP
- Ersteller M
- Erstellt am
M
Grand Admiral Special
Ich habe hier eine Seite auf welcher ich als Kontaktmöglichkeit das Standardformular von United Domains einbinde.
Nun ist aber die Frage wie die Rechtevergabe auszusehen hat. Ich habe der kompletten Seite inkl Unterordner per Filezilla die Rechte 770 verliehen.
Einzig dem PHP-Formular habe ich 777 gegeben. Damit haben öffentliche Besucher volle Rechte (Lesen, Schreiben, Ausführen).
Damit laufen Seite und Skript anstandslos. Ich frage mich nur, ob das wirklich vonnöten war oder ich womöglich unnötig Türen für Angreifer öffne
Nun ist aber die Frage wie die Rechtevergabe auszusehen hat. Ich habe der kompletten Seite inkl Unterordner per Filezilla die Rechte 770 verliehen.
Einzig dem PHP-Formular habe ich 777 gegeben. Damit haben öffentliche Besucher volle Rechte (Lesen, Schreiben, Ausführen).
Damit laufen Seite und Skript anstandslos. Ich frage mich nur, ob das wirklich vonnöten war oder ich womöglich unnötig Türen für Angreifer öffne
De facto Standard ist bei Verzeichnissen 755 und bei Dateien 644. Versuchs mal damit. 
Hintergrund:
Das Attribut "ausführen" ist nur für "richtige" Programme nötig, also z.B. sämtliche Kommandozeilen-Tools. Dein PHP-Skript wird aber nicht direkt ausgeführt, sondern von einem Programm (das PHP-Binary) eingelesen und ausgeführt.
Der Webserver (z.B. ein Apache mit dem PHP-Modul "mod_php") läuft mit einem speziellen User, z.B. "www-run". Dieser User benötigt lediglich Leserechte für deine PHP-Skripte. Ist der User sogleich dein FTP-User mit dem du die Dateien erstellst, reicht dir also sogar "400" um das Skript ausführen zu können ("Eigentümer darf nur lesen, alle anderen dürfen nichts"). Ist der User nur in der selben Gruppe, benötigst du schon mindestens 440 ("Der Eigentümer und alle User aus seiner Gruppe dürfen lesen, alle andere dürfen nichts"), andernfalls eben 444 ("Alle User auf dem System dürfen lesen").
Schreibrechte benötigst du wirklich nur, wenn du dein PHP-Skript z.B. über FTP bearbeiten willst oder in deinem Skript eine Datei per PHP beschreiben willst.
Bei Verzeichnissen ist das ähnlich, nur brauchst du da auch das X-Bit damit der Webserver Dateien aus dem Verzeichnis auch erreichen kann, also mindestens 555.
Da es aber ziemlich unbequem ist die Dateirechte anzupassen, wenn man mal etwas ändern will, hat es sich eingebürgert dem Eigentümer der Datei immer gleich Schreibrechte zu geben (also 644 bei Dateien bzw 755 bei Verzeichnissen).
Mehr Infos hier:
http://de.wikipedia.org/wiki/Unix-Dateirechte
Gruß,
Max
PS: Hoffe das ist halbwegs verständlich, mir fehlen grad die richtigen Worte...
Hintergrund:Das Attribut "ausführen" ist nur für "richtige" Programme nötig, also z.B. sämtliche Kommandozeilen-Tools. Dein PHP-Skript wird aber nicht direkt ausgeführt, sondern von einem Programm (das PHP-Binary) eingelesen und ausgeführt.
Der Webserver (z.B. ein Apache mit dem PHP-Modul "mod_php") läuft mit einem speziellen User, z.B. "www-run". Dieser User benötigt lediglich Leserechte für deine PHP-Skripte. Ist der User sogleich dein FTP-User mit dem du die Dateien erstellst, reicht dir also sogar "400" um das Skript ausführen zu können ("Eigentümer darf nur lesen, alle anderen dürfen nichts"). Ist der User nur in der selben Gruppe, benötigst du schon mindestens 440 ("Der Eigentümer und alle User aus seiner Gruppe dürfen lesen, alle andere dürfen nichts"), andernfalls eben 444 ("Alle User auf dem System dürfen lesen").
Schreibrechte benötigst du wirklich nur, wenn du dein PHP-Skript z.B. über FTP bearbeiten willst oder in deinem Skript eine Datei per PHP beschreiben willst.
Bei Verzeichnissen ist das ähnlich, nur brauchst du da auch das X-Bit damit der Webserver Dateien aus dem Verzeichnis auch erreichen kann, also mindestens 555.
Da es aber ziemlich unbequem ist die Dateirechte anzupassen, wenn man mal etwas ändern will, hat es sich eingebürgert dem Eigentümer der Datei immer gleich Schreibrechte zu geben (also 644 bei Dateien bzw 755 bei Verzeichnissen).
Mehr Infos hier:
http://de.wikipedia.org/wiki/Unix-Dateirechte
Gruß,
Max
PS: Hoffe das ist halbwegs verständlich, mir fehlen grad die richtigen Worte...
M
Grand Admiral Special
Ich danke Dir Max! War schon seit Stunden am suchen wegen der Berechtigung....überall wird was anderes erzählt.
Cheerio!
M
Cheerio!
M