Antworten auf Ihre häufigsten Fragen

Welche Skript-/Sicherheits-Einstellungen kann ich vornehmen?
pdf print

In den Skript-Einstellungen können Sie einige Server seitige Konfigurationsparameter festlegen. Viele davon betreffen die PHP-Sicherheit, andere die Funktion Ihrer Skripte selbst. Hier werden die Auswahlmöglichkeiten im Einzelnen erklärt.

Alle benötigten Einstellungen finden Sie ab WebPack M im KIS unter Produktverwaltung - Ihr Produktbereich - Konfigurieren - Skripte & Datenbanken - Skript-Einstellungen.

Viele PHP-Features erkaufen sich einfachere Bedienbarkeit mit reduzierter Sicherheit. Um Ihnen die Wahl zu lassen, ob zum Beispiel ältere Skripte laufen sollen oder erhöhte Sicherheit gewünscht ist, haben Sie die Möglichkeit, selbst im KIS Einstellungen für Ihr Paket zu setzen. Im Zweifelsfall wählen Sie den "Serverstandard" aus.

Hier die verschiedenen Optionen im Einzelnen:

PHP-Errors

PHP kann etwaige Fehler im Skript entweder auf der Seite selbst anzeigen, oder diese nur in den Logdateien speichern. Zusätzlich ist es möglich, zu bestimmen ab welcher Schwere Fehler geloggt beziehungsweise im Browser angezeigt werden sollen. Welcher Weg für Sie günstiger ist, hängt von Ihrer Anwendung ab. Oft ist bei der Entwicklung der Seiten eine direkte Anzeige im Browser bequemer. Im produktiven Einsatz ist es oft besser, die Meldungen zu unterdrücken. Sie können das Error-Logfile im KIS in der Logfile-Verwaltung einsehen.

Einstellung Mögliche Werte Standardeinstellung Beschreibung
Logging Level
  • Alle Meldungen (gemäß E_ALL)
  • Warning und schwerwiegender
  • Error und schwerwiegender
Error und schwerwiegenderStellt die Empfindlichkeit des Loggings ein. Bei Error und schwerwiegender werden nur kritische Fehler ausgegeben. Für die Entwicklung oder Fehlersuche bietet sich daher "Alle Meldungen" an, wobei dies unter Umständen zu einem sehr großen Error-Log führen kann
Logging in LogfileOn oder OffOnBestimmt, ob auftretende Fehler in das Error-Log des Webservers geschrieben werden sollen
Logging OutputOn oder OffOffBestimmt, ob auftretende Fehler im Browser ausgegeben werden sollen
php_flag / php_admin_flagphp_admin_flag oder php_flagphp_admin_flagLegt fest, ob die hier getätigten Einstellungen per .htaccess Datei im Webspace überschrieben werden können (php_flag) oder nicht (php_admin_flag)

 

PHP-mbstring.func_overload

Mit mbstring.func_overload können normale PHP-Funktionen automatisch durch Multibyte-kompatible PHP-Funktionen ersetzt werden. Folgende Werte können Sie auswählen:

1 = Mailfunktion - statt mail() wird mb_send_mail() usw. benutzt
2 = Stringfunktionen - statt strlen() wird mb_strlen() usw. benutzt
4 = Reguläre Ausdrücke - statt ereg() wid mb_ereg() usw. benutzt
7 = Alle oben aufgeführten Funktionen

Standardeinstellung: Serverstandard (keine Multibyte-kompatiblen Funktionen)

Allow URL fopen

Diese Option erlaubt den entfernten Zugriff auf Inhalte via fopen(). Dies kann erwünscht sein, um zum Beispiel Inhalte einer Webseite abzurufen.

Standardeinstellung: On
höhere Sicherheit/verminderter Funktionsumfang: Off

Allow URL include

Ist diese Option aktiviert, kann externer Code in Ihre lokalen Skripte eingefügt werden. Auf diese Weise könnte ein Angreifer schadhaften Code in Ihre Skripte integrieren und ausführen, wodurch zum Beispiel Spam über Ihre Webseite versendet werden könnte. Bitte beachten Sie: Allow URL include kann nur dann genutzt werden, wenn auch Allow URL fopen aktiviert wurde.

Empfehlung: Diese Einstellung ist auszuschalten, um PHP-Skripte "sicherer" laufen zu lassen. Die Ausführung von schädlichem Code wird dadurch erschwert.

Standardeinstellung: Off
geringere Sicherheit/erhöhter Funktionsumfang: On

PHP-Session-Use-Trans-SID

Wenn im Browser keine Cookies aktiviert sind, sorgt die transparente SID-Unterstützung dafür, dass automatisch eine Session-ID übergeben wird.

Standardeinstellung: On
Alternative Einstellung: Off

PHP-Extensions einstellen

Hier können Sie die Dateiendungen angeben, die mit PHP5 interpretiert werden. Die maximale Länge für die Dateiendung beträgt 5 Zeichen und darf nur Buchstaben oder Zahlen enthalten, die Anzahl ist auf 10 Dateiendungen beschränkt. Die Interpretation durch php5 ist Standard.

Standardeinstellung: phtml php5 php4 php3 php

CGI-Extensions einstellen

Hier können Sie die Dateiendungen angeben, die unabhängig vom Speicherort ("cgi-bin") mit dem darin angegebenen Interpreter ausgeführt werden sollen. Die maximale Länge für die Dateiendung beträgt 5 Zeichen und darf nur Buchstaben oder Zahlen enthalten, die Anzahl ist auf 10 Dateiendungen beschränkt.

Standardeinstellung: cgi pl py sh rb

SSI-Extensions einstellen

Per Standard werden immer .shtml Dateien auf SSI Inhalte überprüft. Wenn Sie zusätzliche Dateitypen in Bezug auf SSI interpretieren lassen möchten, können Sie hier die Dateiendungen (z.B. .html, .htm etc.) einstellen. Bitte beachten Sie, dass dadurch die Geschwindigkeit der Seitenauslieferung verlangsamt werden kann.

Standardeinstellung: -

Directoryindex einstellen

Hier können Sie die Dateinamen angeben, die der Webserver beim Aufruf einer URL, die keinen Dateinamen beinhaltet, anzuzeigen versucht (in der angegebenen Reihenfolge).

Standardeinstellung: index.html index.htm index.shtml index.php index.php4 index.php5

Charset

Mit dieser Einstellung können Sie das von PHP verwendete Charset (der Zeichensatz) konfigurieren. Dies kann hilfreich sein, wenn zum Beispiel Umlaute nicht korrekt angezeigt werden. Folgende Einstellungen können gewählt werden:

Serverstandard: Es werden die Vorgaben von PHP genutzt (UTF-8 bei PHP 7.x)
none: Setzt das Charset auf einen leeren Wert ("No value")
ISO-8859-1: Setzt das Charset ISO-8859-1 für PHP 7.x

Bitte beachten Sie, dass alle Änderungen 15 Minuten benötigen um aktiv werden.

 


otto.friedrich@hosteurope.de xanthippe.ypsilante@hosteurope.de hercules.ikarus@hosteurope.de