Kommentar: PHP3 und cgi-bin
Peter Ohlerich
peter.ohlerich at uni-bielefeld.de
Fri Apr 28 08:41:10 CEST 2000
Hallo Leute!
Die Problematik hat etwas mit dem Verfahren zu tun, wie die Skripte
ausgewertet werden. Wenn ich HTML habe wo als Kommentare PHP3 verbaut
ist, so ist das eine Sache, die nicht viel mit CGI im eigentlichen
Sinne zu tun hat, da hier der Server die Seiten entsprechend auswerten
muß. Dabei sollte aber das executable-Flag für diese Skripte NICHT
gesetzt sein. Wenn ich pures PHP3 mit +x habe, so gehört das in
cgi-bin. Ein sicherer Server sollte sich weigern irgendetwas executable
auszuführen, was nicht im cgi-bin liegt. Weiterhin sollten solche bins
in einer suid-Umgebung (entweder durch der http-Server) oder durch
cgiwrap ausgeführt werden, damit die Benutzer nicht das System killen
können, oder die falschen Dateien (z.B. /etc/shadow weil der httpd
unter root läuft [soll er auch nicht, kommt aber vor]) ausliefert.
Lange Rede, kurzer Sinn: Embedded-Anweisung (als Kommentar im HTML)
gehören ins html-Verzeichnis und ausführbare Skripte gehören ins
Dokumentenverzeichnis.
Peter.
--
----------------------------------------------------------------------
HRZ d. Universitaet Bielefeld Phone: +49 521 106-4931 Fax: -2969
Dipl.-Inf. Peter Ohlerich Email: peter.ohlerich at uni-bielefeld.de
P.O.Box 100131 WWW: http://www.uni-bielefeld.de/hrz/
D-33501 Bielefeld (Germany)
-
Hinweise zur Benutzung dieser (und anderer Mailing-Listen) bitte beachten:
--> http://lug-owl.de/mailinglist_hints.html <--
More information about the Linux
mailing list