4images Forum & Community

4images Issues / Ausgaben => Discussion & Troubleshooting => Topic started by: corcordis on November 23, 2008, 10:08:30 AM

Title: Security Frage - config.php
Post by: corcordis on November 23, 2008, 10:08:30 AM

Liebes Forum,

ich habe bereits die "4images security tips" aus den FAQ gelesen.
Allerdings würde mich interessieren, ob es auch eine Möglichkeit (oder ob es überhaupt nötig ist) gibt, die config.php im Root-Verzeichnis abzusichern.
Die Datei ist ja schon recht kritisch, da sie u.a. Passwörter enthält.

Wenn ich z.B. die Datei nach .../admin/ (.htaccess gesichert) verschiebe und alle entsprechenden Aufrufe anpasse, würde dann ein unangemeldeter Benutzer überhaupt noch
die Gallerie nutzen können?

Viele Grüße und vielen Dank im Voraus!

Dominik

Title: Re: Security Frage - config.php
Post by: V@no on November 23, 2008, 10:47:17 AM

Sorry for response in english.

I don't see any security issues with config.php anywhere on the site. If you try access it via web all you should see is a blank page, no information exposed. But if someone, somehow got access to your 4images root files, there is no .htaccess could possibly protect files in /admin/

If you very concerned about config.php, you can move it to any directory on the server, then change in global.php
@include(ROOT_PATH.'config.php');
 
to this:
@include('/full/local/path/config.php');
(change the path)

Title: Re: Security Frage - config.php
Post by: corcordis on November 23, 2008, 11:18:34 AM

Hi V@no,

and thanks for your answer.
I see what you mean. I just wasn't sure if there is a possibility of reading the contents of the config.php file if you are able to "run" it and see the blank page.

EDIT:
I have just moved the config.php file into a .htaccess secured folder and put that path into global.php.
Works fine! Thank you!