Antworten auf Ihre häufigsten Fragen

Welche Skript-/Sicherheits-Einstellungen kann ich vornehmen?
pdf print

In den Skript-Einstellungen können Sie einige Server seitige Konfigurationsparameter festlegen. Viele davon betreffen die PHP-Sicherheit, andere die Funktion Ihrer Skripte selbst. Hier werden die Auswahlmöglichkeiten im Einzelnen erklärt.

Alle benötigten Einstellungen finden Sie ab WebPack M im KIS unter Produktverwaltung - Ihr Produktbereich - Konfigurieren - Skripte & Datenbanken - Skript-Einstellungen.

Viele PHP-Features erkaufen sich einfachere Bedienbarkeit mit reduzierter Sicherheit. Um Ihnen die Wahl zu lassen, ob zum Beispiel ältere Skripte laufen sollen oder erhöhte Sicherheit gewünscht ist, haben Sie die Möglichkeit, selbst im KIS Einstellungen für Ihr Paket zu setzen. Im Zweifelsfall wählen Sie den "Serverstandard" aus.

Hier die verschiedenen Optionen im Einzelnen:

PHP-Errors

PHP kann etwaige Fehler im Skript entweder auf der Seite selbst anzeigen, oder diese nur in den Logdateien speichern. Zusätzlich ist es möglich, zu bestimmen ab welcher Schwere Fehler geloggt beziehungsweise im Browser angezeigt werden sollen. Welcher Weg für Sie günstiger ist, hängt von Ihrer Anwendung ab. Oft ist bei der Entwicklung der Seiten eine direkte Anzeige im Browser bequemer. Im produktiven Einsatz ist es oft besser, die Meldungen zu unterdrücken. Sie können das Error-Logfile im KIS in der Logfile-Verwaltung einsehen.

Einstellung Mögliche Werte Standardeinstellung Beschreibung
Logging Level
  • Alle Meldungen (gemäß E_ALL)
  • Warning und schwerwiegender
  • Error und schwerwiegender
Error und schwerwiegenderStellt die Empfindlichkeit des Loggings ein. Bei Error und schwerwiegender werden nur kritische Fehler ausgegeben. Für die Entwicklung oder Fehlersuche bietet sich daher "Alle Meldungen" an, wobei dies unter Umständen zu einem sehr großen Error-Log führen kann
Logging in LogfileOn oder OffOnBestimmt, ob auftretende Fehler in das Error-Log des Webservers geschrieben werden sollen
Logging OutputOn oder OffOffBestimmt, ob auftretende Fehler im Browser ausgegeben werden sollen
php_flag / php_admin_flagphp_admin_flag oder php_flagphp_admin_flagLegt fest, ob die hier getätigten Einstellungen per .htaccess Datei im Webspace überschrieben werden können (php_flag) oder nicht (php_admin_flag)

 

PHP-mbstring.func_overload

Mit mbstring.func_overload können normale PHP-Funktionen automatisch durch Multibyte-kompatible PHP-Funktionen ersetzt werden. Folgende Werte können Sie auswählen:

1 = Mailfunktion - statt mail() wird mb_send_mail() usw. benutzt
2 = Stringfunktionen - statt strlen() wird mb_strlen() usw. benutzt
4 = Reguläre Ausdrücke - statt ereg() wid mb_ereg() usw. benutzt
7 = Alle oben aufgeführten Funktionen

Standardeinstellung: Serverstandard (keine Multibyte-kompatiblen Funktionen)

Allow URL fopen

Diese Option erlaubt den entfernten Zugriff auf Inhalte via fopen(). Dies kann erwünscht sein, um zum Beispiel Inhalte einer Webseite abzurufen.

Standardeinstellung: On
höhere Sicherheit/verminderter Funktionsumfang: Off

Allow URL include

Ist diese Option aktiviert, kann externer Code in Ihre lokalen Skripte eingefügt werden. Auf diese Weise könnte ein Angreifer schadhaften Code in Ihre Skripte integrieren und ausführen, wodurch zum Beispiel Spam über Ihre Webseite versendet werden könnte. Bitte beachten Sie: Allow URL include kann nur dann genutzt werden, wenn auch Allow URL fopen aktiviert wurde.

Empfehlung: Diese Einstellung ist auszuschalten, um PHP-Skripte "sicherer" laufen zu lassen. Die Ausführung von schädlichem Code wird dadurch erschwert.

Standardeinstellung: Off
geringere Sicherheit/erhöhter Funktionsumfang: On

PHP-Session-Use-Trans-SID

Wenn im Browser keine Cookies aktiviert sind, sorgt die transparente SID-Unterstützung dafür, dass automatisch eine Session-ID übergeben wird.

Standardeinstellung: On
Alternative Einstellung: Off

PHP Suhosin Session Encryption

Mit dieser Einstellung wird festgelegt, ob die Session Dateien verschlüsselt werden sollen.

Standardeinstellung: On
Alternative Einstellung: Off

PHP Suhosin Mail Protection

Mit dieser Einstellung können Sie den Header Schutz für per Skript erzeugte E-Mails konfigurieren.

Standardeinstellung: Verbietet Zeilenumbrüche in "Subject" und "To" sowie doppelte Zeilenumbrüche im 4. Parameter der Mail-Funktion
Erhöhte Sicherheit: Verbietet zusätzlich die Felder "To", "CC" oder "BCC" im 4. Parameter der Mail-Funktion.

PHP Suhosin RPG Max Vars

Hier können Sie die Anzahl der durch Suhosin erlaubten Variablen, die durch Cookie, die URL oder einen Post-Request registriert werden, beeinflussen.

Standardeinstellung: Serverstandard
Alternative Einstellung: Erweitert

Durch die erweiterte Einstellung werden folgende Werte gesetzt:

suhosin.get.max_array_depth 1200
suhosin.get.max_array_index_length 1536
suhosin.get.max_name_length 768
suhosin.get.max_totalname_length 1536
suhosin.get.max_value_length 3072
suhosin.get.max_vars 6144
suhosin.post.max_array_depth 1200
suhosin.post.max_array_index_length 768
suhosin.post.max_name_length 768
suhosin.post.max_totalname_length 1536
suhosin.post.max_value_length 195000
suhosin.post.max_vars 6144
suhosin.request.max_array_depth 300
suhosin.request.max_array_index_length 768
suhosin.request.max_name_length 768
suhosin.request.max_totalname_length 1536
suhosin.request.max_value_length 195000
suhosin.request.max_varname_length 768
suhosin.request.max_vars 6144
suhosin.cookie.max_array_depth 1200
suhosin.cookie.max_array_index_length 768
suhosin.cookie.max_name_length 768
suhosin.cookie.max_totalname_length 1536
suhosin.cookie.max_value_length 60000
suhosin.cookie.max_vars 6144

Einen noch höheren Wert als 6144 können Sie bei allen Produkten mit voller htaccess Datei Unterstüzung auch direkt in dieser einstellen. Lassen Sie dafür die Einstellung im KIS auf Standardeinstellung: Serverstandard stehen und tragen den gewünschten Wert in die htaccess Datei ein.

PHP Suhosin Executor Include Whitelist

Mit dieser Einstellung können Sie festlegen, welche zusätzlichen Streams in Ihren PHP-Skripten in include-Anweisungen verwendet werden können. Derzeit ist es möglich, die folgenden zusätzlichen Streams freizuschalten: "phar://", "tmpl://", "file://", "upload://", "bfa://" sowie "vfs://". Die Werte "http://" und "https://" werden jeder Auswahl immer automatisch hinzugefügt.

Standardeinstellung: http,https

PHP5-Extensions einstellen

Hier können Sie die Dateiendungen angeben, die mit PHP5 interpretiert werden. Die maximale Länge für die Dateiendung beträgt 5 Zeichen und darf nur Buchstaben oder Zahlen enthalten, die Anzahl ist auf 10 Dateiendungen beschränkt. Die Interpretation durch php5 ist Standard.

Standardeinstellung: phtml php5 php4 php3 php

CGI-Extensions einstellen

Hier können Sie die Dateiendungen angeben, die unabhängig vom Speicherort ("cgi-bin") mit dem darin angegebenen Interpreter ausgeführt werden sollen. Die maximale Länge für die Dateiendung beträgt 5 Zeichen und darf nur Buchstaben oder Zahlen enthalten, die Anzahl ist auf 10 Dateiendungen beschränkt.

Standardeinstellung: cgi pl py sh rb

SSI-Extensions einstellen

Per Standard werden immer .shtml Dateien auf SSI Inhalte überprüft. Wenn Sie zusätzliche Dateitypen in Bezug auf SSI interpretieren lassen möchten, können Sie hier die Dateiendungen (z.B. .html, .htm etc.) einstellen. Bitte beachten Sie, dass dadurch die Geschwindigkeit der Seitenauslieferung verlangsamt werden kann.

Standardeinstellung: -

Directoryindex einstellen

Hier können Sie die Dateinamen angeben, die der Webserver beim Aufruf einer URL, die keinen Dateinamen beinhaltet, anzuzeigen versucht (in der angegebenen Reihenfolge).

Standardeinstellung: index.html index.htm index.shtml index.php index.php4 index.php5

Charset

Mit dieser Einstellung können Sie das von PHP verwendete Charset (der Zeichensatz) konfigurieren. Dies kann hilfreich sein, wenn zum Beispiel Umlaute nicht korrekt angezeigt werden. Folgende Einstellungen können gewählt werden:

Serverstandard: Es werden die Vorgaben von PHP genutzt (UTF-8 bei PHP 5.6 und PHP 7.0)
none: Setzt das Charset auf einen leeren Wert ("No value")
ISO-8859-1: Setzt das Charset ISO-8859-1 für PHP 5.6 und PHP 7.0

Bitte beachten Sie, dass Änderungen innerhalb von 15 Minuten aktiv werden.

 


otto.friedrich@hosteurope.de xanthippe.ypsilante@hosteurope.de hercules.ikarus@hosteurope.de