moze:
1) ako ti crkne php modul
2) neko provali na server
3) neko ti provali ftp korisnika..
.....
neko na tvom serveru koristi phpBB ili phpNuke
...

4) Ako imaš PHP skriptu koja daje fajlove na download a ne pazi šta daje na download

U principu su sigurni a greška je najčešće ljudski faktor

Što se tiče servera, ne moguće je da napravi grešku i dopusti korisniku da downloaduje php source...
I takođe, pazi da negdje pogrešno ne iskoristiš highlight_file funkciju....

Moguće je da server napravi grešku i prikaže PHP kod, kao što reče flylord, ako zabrljavi php modul (to je severski modul).

Takođe, mnogi stavljaju ekstenziju .inc fajlovima koje include-uju - a to je velika greška (naravno, to je opet ljudski faktor).

Pa ok je da bude dvostruka extenzija npr. ".inc.php" ili ".class.php" ali nikako ".inc" ili ".class" ;) ...

Naravno. Uostalom ekstenzija je samo ono na kraju tako da faktički tu imaš ekstenziju .php

Bilo koji user na istom web serveru kao i ti može da čita tvoje php fajlove!

Kako?
Ako ode u njegov maticni dir ili gdje se to vec nalazi?
Pa kako ce otici obican user tamo? A zasto bi Reseller -a / Super User-a zanimalo sta se nalazi u njegovom diru ili njegovi php fajlovi ???
@ Nemanja - Pa jest' , ali imas i .class / .inc ... ?

http://maestitia.net/include
http://maestitia.net/fragments

> Kako?
> Ako ode u njegov maticni dir ili gdje se to vec nalazi?
> Pa kako ce otici *obican* user tamo? A zasto bi Reseller -a / Super
> User-a zanimalo sta se nalazi u njegovom diru ili njegovi php fajlovi ???

dovoljno je da pozove ovaj skript sa ?file=www.nekihost.com/index.php
i ne mora da bude super user da bi to pročitao, dovoljno je da se sajt hostuje na istom serveru.



U ovom primeru gore taj neko bi morao da zna da postoji index.php, mada sam viđao i skriptove koji sami listaju dir.

> http://www.burina.net/content/view/43/57/#php_security

Upravo tako, tek sam sad video link.

To stoji, ali jel si siguran da može da se pozove sa ?file=www.nekihost.com/index.php ili bi moralo sa ?file=/home/mojuser/public_html/index.php (ili tako nekim sličnim path-om)?

> To stoji, ali jel si siguran da može da se pozove sa
> ?file=www.nekihost.com/index.php ili bi moralo sa
> ?file=/home/mojuser/public_html/index.php (ili tako nekim sličnim path-om)?

ipak treba ?file=/home/mojuser/public_html/index.php
ono malopre sam pisao iz glave. ;)

da samo taj problem nije problem php-a nego shared hostinga, bilo koji jezik pati od tog problema isto tako moze da se zvirne i u py i jsp i pl filo-ve problem je sto svi useri dele jedan server koji ima privilegije da gleda svacije fileove svaki skript koji server pokrene ima iste privilegije kao i server.. ispravite me ako gresim ali od ovoga nema zastite ?( sem ne koriscenja shared hostinga )

... ili enkripcije fajlova.

Pa kako ce on znati koji je moj username???
Path, sve treba da zna, a to se nigdje ne prikazuje... Kome cu ja davati cPanel / FTP username ???

da to se nigde ne prikazuje ali on moze jednostavno da napise php script
koji ispise njegov trenutni direktorijum koji ce biti recimo /var/www/hosting/users/besposlen_papan
i onda lepo da napravi skriptu koji ce da izlista sve sto nadje u /var/www/hosting/users/
ili da proba sa /var/www/hosting/users/ime_tvog_domena



kako se to postize ? ko vrsi enkripciju i dekrpiciju ? sta se enkriptuje? mozes li mi malo ovo pojasniti, hvala

Username je (bar kod cPanela) prvih osam karaktera tvog domena (po defaultu, kod mene na sajtu nije ).

Enkripciju vrši Zend Optimizer ili IonCube. Ni jedan ni drugi nisu baš jeftini.

Pogledaj malo Zend-ov sajt... Zaboravio sam kako se zove program...

Ni kod mene.
Ajd' baš ću da probam ovu skriptu (za fajlove) ...

Evo probao sam.
Ne moze da dodje do var/ direktorijuma.
Ispise gresku da fajl ne postoji...

Često sam na serverima viđao postavljen open_basedir (http://www.php.net/manual/en/features.safe-mode.php),
čime se efikasno (?) sprečavalo takvo zavirivanje u druge hostinge.

Ok to resava problem za php, ali neko moze komotno da napise perl skriptu i ona nece biti sprecena

Mene interesuje da li bi neko mozda mogao zloupotrebiti upload, kada bi bio sasatvni deo sajta, i uploadovati neki php fajl koji bi kasnije mogao koristiti da bi pristupao nekim mom fajlovima?

Mogao bi,
ako je dozvoljeno uploadovanje datoteka s ekstenzijama php, asp, pl, .... Znači skriptova i programa.
Takođe napadač mora znati direktorijum u koji se taj skript smestio i dali je preimenovan tokom uploada, i da je taj dir. dostupan kroz brovzer.

Da, znaci ako si dozvolio upload skripti, onda za download nemoj stavljati link (direktan) ka toj skripti - da se