Hejsa,
En ting som jeg har spekuleret over (og netop prøvet af på et
ikke-navngivet stort webhotel ude i byen).
Prøv dette på et helt almindeligt webhotel:
----------------[snip]-------------------------
<?
header ("Content-type: text/plain");
if ($dir = @opendir("/home/en_anden_bruger_end_dig_selv"))
{
while ($file = readdir($dir))
{
echo "$file\n";
}
closedir($dir);
}
?>
----------------[eller dette.....]-------------------------
<?
$fp =
fopen("/home/en_anden_bruger_end_dig_selv/en_php_fil_med_f_eks_online_ca
sino_algoritmer","r");
fpassthru($fp);
?>
----------------[snip]-------------------------
Man har jo adgang til alle filerne hos de andre kunder på webhotellet!!!
Årsagen er selvfølgelig, at der scriptes igennem Apache, som ikke kan
kende forskel på brugerne..... -- Og Apache skal selvfølgelig have
adgang til alle PHP-filer og CGI-scripts.... -- Det er jo ikke noget
specielt PHP-relateret problem, da man jo også kan lave dette gennem
Perl- eller bash-scripts...
HVORDAN SIKRER MAN SIN SERVER, SÅ DETTE IKKE KAN LADE SIG GØRE ?????
Jeg vil vædde min gamle ZX81 på, at 99% af alle webhoteller (med Apache)
kan "hackes" på denne måde! (Og det kan vi jo ikke have hos os selv,
vel?!)
