Config.php geklaut/ Inhalt herausgefunden

[NE4Y]

Hey,

wie ist es möglich, dass jemand den Inhalt meiner config.php herausfindet ? Ansich kann man ja PHP Code als User nicht einsehen, da er ja geparst wird. Einen konfigurations Fehler von PHP würde ich mal ausschließen ( kostenpflichtiger Hoster ). Was für möglichkeiten gibt es sonst?
fopen ?

Und wie kann man sich gegen soetwas schützen ?

MFG

 

[mermshaus]

Per FTP einloggen und Dateien öffnen, auf irgendeine Weise PHP-Code einschleusen (etwa durch ein Upload-Script, das *.php zulässt, oder durch einen eval-Aufruf, der POST- oder GET-Werte einbezieht), möglicherweise Admin-Account im CMS geknackt, schlecht programmierter Downloadbereich, …

Wie kann man sich dagegen schützen? FTP-Passwort nicht rausgeben, das Einschleusen von PHP-Code nicht zulassen, Quellcode- oder zumindest Konfigurationsdateien außerhalb des Docroots ablegen…

Alles bei den gegebenen Informationen kaum zu sagen.

 

[NetAktiv]

Oder du hast einen phpinfo()-Aufruf öffentlich, diese Methode gibt auch viele PHP-Parameter aus.

 

[SebStar]

Was auch funktionieren müsste, dass du die Datei mit wget.exe downloadest.
Ich bin mir aber nicht ganz sicher.

 

[mermshaus]

wget muss dazu auch irgendein Protokoll nutzen. Wenn du HTTP einsetzt, erhältst du dieselbe Ausgabe, die auch ein Browser erhalten würde. Wenn du FTP einsetzt, brauchst du die Zugangsdaten, bekommst aber natürlich die „ungeparste“ Datei.