httpd-users-de mailing list archives

Site index · List index
Message view « Date » · « Thread »
Top « Date » · « Thread »
From "mod4wb@heysoft.de" <mod...@heysoft.de>
Subject Re: Keine Programmausführung in upload-Verzeichnis zulassen.
Date Mon, 05 Oct 2009 09:06:16 GMT
Vielen Dank für die schnelle Antwort, Jörg.
Ich hake noch mal unten im Text nach.

> - Die Anwendung sollte die Daten oberhalb des htdocs Speichern damit der
> Webserver da nie hinkommt

Ich schreibe an einem Modul für ein CMS, das auch auf vielen Shared
Hosting Servern läuft. Da gibt es Provider, die ein Schreiben außerhalb
von htdocs nicht zulassen, deshalb fällt diese Möglichkeit leider weg.


> - Die Anwendung muesste doch eh generische Dateinamen erstelen um auch
> unterschiedliche Dateien mit gleichem Namen verarbeiten zukoennen bzw.
> um Sonderzeichgen auch Sicher verarbeiten zukoennen. Dabei brauchts dann
> keine Dateiendungen mehr ueber welche der Webserver die Zuordnung zu
> Scriptparsern macht.

Die Anwendung ändert den Dateinamen, so daß der Zugriff zwecks Download
nur über das Modul möglich ist. Die Dateiendungen sollen aber bestehen
bleiben - wenn jemand z.B. eine pdf-Datei runterlädt ohne die richtige
Endung, wäre das wohl kaum akzeptabel.

>> Fragen:
>> 1. Warum klappt das Ausführen von Scripts trotz "-ExecCGI" noch?
>
> Weil bei dir PHP als Modul laeueft und nicht ueber CGI.

Wieder was gelernt, danke.

Neue Frage:
Nun kann ich immer noch mit so was wie
<FilesMatch "\.(php[0-9]?|js|pl)$">
	SetHandler text/plain
</FilesMatch>
die Ausführung von Dateien verhindern. Aber dann bräuchte ich eine Liste
mit allen Dateiendungen der auf dem Server ausführbaren Scripte - wo
bekomme ich die her?
Außerdem ist das eine Blacklist-Methode, wenn es die nächste Scriptsprache
gibt, hab ich wieder ein Problem. Eine generische Lösung wäre da besser.

Gruß Frank

--------------------------------------------------------------------------
                Apache HTTP Server Mailing List "users-de" 
      unsubscribe-Anfragen an users-de-unsubscribe@httpd.apache.org
           sonstige Anfragen an users-de-help@httpd.apache.org
--------------------------------------------------------------------------


Mime
View raw message