PHP-Skripte vor unbefugtem Download absichern

In diesem kurzen Artikel möchte ich zeigen, wie ich persönlich meine in PHP gebauten Projekte etwas absichere. Damit nicht die Möglichkeit besteht, dass die PHP-Dateien als Textdokumente vom Browser heruntergeladen werden können anstatt dass diese auf dem Server ausgeführt werden, gehe ich wie in diesem Artikel beschrieben vor. Dies könnte ansonsten z. B. dann passieren wenn der Webserver nicht korrekt arbeitet bzw. das PHP-Modul abschmiert

Read more

URL per PHP-Skript immer klein schreiben

Um die Erkennung von doppeltem Content für die Suchmaschinen auszuschließen und um das ganze Webprojekt schön sauber zu halten, sollte man grundsätzlich auf Großschreibung in URLs verzichten. Da es auch passieren könnte, dass Links auf anderen Seiten mit falscher Groß-/Kleinschreibung hinterlegt sind, die trotzdem zum Ziel führen wenn das CMS oder das eigene PHP-Projekt nicht Case-sensitiv arbeitet. Dies ist auch bei Word Press der Fall und betrifft somit sehr viele Seiten.

Read more

Verschleierter Download mit PHP

Eine Anforderung für ein kleines Webprojekt war der Download von Dateien, mit der Besonderheit, dass diese nicht so einfach für jeden Nutzer downloadbar sein sollen, sondern lediglich nach einem Kauf über Digistore24. Hierfür müssen die Dateien grundsätzlich schon für jeden Seitenbenutzer verfügbar sein, ansonsten funktioniert dieses Vorgehen nicht mit Digistore24 und man müsste die Dateien dort kostenpflichtig in einen Download-Tresor ablegen. Anstatt die Dateien aber all zu einfach verfügbar zu machen, z. B. in dem man sie unter www.domain.de/download/Produkt1.zip ablegt, kann man den Download mit kryptischen Links verschleiern. Diese kann man dann auch von Zeit zu Zeit austauschen.

Es gibt verschiedene Funktionen mit denen man einen Datei-Download unter PHP realisieren kann, z. B. die folgenden:

Read more

Piwik/Matomo sicherer machen

In der Grundinstallation könnte theoretisch jeder versuchen das Backend von Piwik bzw. Matomo aufzurufen, wenn er die URL kennt. Diese ist ja nicht schwer zu finden, da sie im Quellcode der trackenden Webseiten steht.

Read more

Aufpassen wo man eine .htaccess-Datei ablegt

Vor einiger Zeit habe ich Änderungen an einer .htaccess-Datei und diese immer direkt auf den Webspace geladen um die Auswirkungen zu testen. Dafür habe ich mir anfangs die .htaccess-Datei im aktuellen Stand heruntergeladen und auf mein Projekt-Laufwerk gelegt, also einfach ins Stammverzeichnis. Auf diesem Laufwerk lagern auch die Ordner, die im lokalen Apache von Xampp laufen. Wie es der Zufall so will, habe ich an diesen Projekten danach ein paar Tage nicht lokal gearbeitet. Als ich dann weiterarbeiten wollte, ließ sich keines meiner Webprojekte aufrufen.

Read more

Webseite auf SSL-Verschlüsselung umstellen

Da Google es schon länger fordert, sollte man seine Webprojekte möglichst auf SSL umstellen um im Vergleich mit anderen Seiten nicht zu verlieren.

Wie man z. B. bei All-Inkl das kostenfreie Let’s Encrypt einbindet findet man hier. Neben der Möglichkeit überhaupt SSL-Zertifikate verwenden zu können sind je nach Webseite einige Anpassungen an der Webseite selber notwendig.

Read more