Datei auf Webserver nur PHP zugänglich machen

**AmicaNoctis** · 11.08.2012, 10:30

Hallo,

die erste und todsichere Variante besteht darin, Dateien, die nicht vom Server ausgeliefert werden sollen, auch nicht innerhalb des DocumentRoot abzulegen. PHP kann ja im Normalfall auf das ganze Dateisystem zugreifen, während der Webserver auf das DocumentRoot (und ggf. andere explizite Freigaben) beschränkt ist.

Da diese erste Variante mit gemietetem Webspace/Server wegen der Vorgaben des Providers nicht immer so ganz einfach umzusetzen ist, hier Variante 2: Du erstellst ein mit .htaccess geschütztes Verzeichnis für solche geheimen Dateien. Was dort drin liegt, kann nicht über die URL abgefragt werden. Über das Dateisystem kannst du aber völlig normal darauf zugreifen (mit PHP, FTP, …).

Da diese zweite Variante nur bei Providern anwendbar ist, die ihren Benutzern eigene .htaccess-Dateien erlauben, hier Variante 3: Frag deinen Hoster, welche Präfixe vom Webserver ausgeschlossen sind. Oft sind z. B. alle Dateien mit einem Punkt am Anfang unsichtbar oder Dateien, die mit einer Tilde beginnen. Das kannst du ausnutzen, um deine Datei sozusagen vor dem Webserver zu verstecken. Wenn dein Provider dir da nicht weiterhelfen kann oder will, versuch es mit dem Präfix „.ht“, der in 95% der Fälle funktionieren sollte.

Zum Schluss gibt es immer noch das Geheimnisprinzip. Wer den Namen der Datei nicht kennt und auch nicht leicht erraten kann, wird nie erfahren, dass es diese Datei dort gibt, solange du es geheim hältst und auch nicht verlinkst. Hier helfen solche PHP-Tools wie uniqid(), um einen Dateinamen wie z. B. „font502617994853f-palatino-linotype.ttf“ zu erzeugen, der extrem schwer zu erraten ist.

[Thema verschoben]

Gruß,

Amica

**Peter59** · 12.08.2012, 13:42

Danke, Amica

Danke für die ausführliche Antwort.
War auch für mich hilfreich - z.T. als Auffrischung, einiges war mir auch neu.
Peter

**freakgesicht** · 15.08.2012, 18:39

@AmicaNoctis

Vielen vielen Dank für die tolle Antwort! Habe meinem Provider bereits geschrieben!

Noch eine Frage zu deiner 2. Variante. Wenn ich einen normalen Verzeichnisschutz erstelle, gilt dieser also nur für den Zugriff per Webbrowser, nicht jedoch für PHP, richtig? D.h. wenn ich diese Lösung wähle, sollte ja eigentlich auch alles passen, oder?

Danke!

**steffomia** · 15.08.2012, 20:00

Jep!
für PHP ist .htaccess nicht von belang. Auch und sowieso nicht bei include und require.

EDIT:
Zusätzlich kann es Sinnvoll sein, in jedem verbotenen oder auch nicht verbotenen Ordner eine index.php datei zu erstellen. Optional mit einem Inhalt wie:
<?php header('location: andereSeite');

**freakgesicht** · 16.08.2012, 21:04

ok, danke schön

Datei auf Webserver nur PHP zugänglich machen