[linux-l] Jeden Tag neuer PHP-Ärger

[Olaf Radicke]

Am Freitag, 11. November 2005 14:46 schrieb Bodo Eichstädt:
> Olaf Radicke schrieb:
> > Hi!
> >
> > Fast jeden Tag Meldungen wie diese zum Thema PHP...
> > http://www.heise.de/security/news/meldung/66053
>
> Bitte höre auf, hier mit Halbwissen die Leute vermeintlich
> warnen/belehren zu wollen. 

Ich habe lediglich ein Link gepostet und mein Eindruck dazu kund getan. Jetzt 
weiß ich nicht, ob du mein Eindruck oder den Link als "Halbwissen" 
bezeichnest. Beides scheint mir unangemessen.

> Stimmungsmache ohne Alternative kann keiner 
> gebrauchen.

Ich mache keine Stimmung, sondern gebe *meine* Stimmung/Eindrücke wieder. Ein 
Recht, was im GG verankert ist. 

Aber du hast ja jetzt die Gelegenheit die Ehre von PHP zu retten. Wann immer 
ich mal wieder ein PHP-Buch in die Hand nahm und versuchte mich dafür zu 
begeistern, bekam ich nach kurzer Zeit Gänsehaut und legt es wieder zurück. 

Alternative sollten wohl bekannt sein u.a. CGI, ASP, Java...

> Denn das Versagen diverser Software-Pakete bezieht sich (fast) immer auf
> die (da gebe ich Dir recht) lausige Standard-Konfiguration. 

Welche Konfiguration? Die von den PHP-Skripten oder des System drumherum 
(Apache e.t.c.)?

> Der 
> Interpreter kann aber sehr wohl dazu gezwungen werden "gefährlich"
> Aktionen (öffnen von URL-Files per fopen, ...) zu verhindern und/oder
> Filezugriffe auf einen "sicheren" Verzeichnisbaum zu beschränken.

Warum ist das dann nicht default Einstellung? Offenbar laufen dann die meisten 
PHP-Skripte nicht mehr. 

> Weiterhin gibt es chroots, vserver uvwm.

Die Philosophie Erinnert mich an die alten Bundeswehr-Hubschrauber (Bell UH-1, 
Bj.  1965), die durch die Reparatur-Flickern und Nachrüstungen so schwer 
geworden sind, das sie z.T. kaum mehr 50% der nenn-zuladung erreichen und 
nicht mehr vollbeladen fliegen können...

MfG
Olaf