Hello Struppi,

entschuldige bitte das Missverständnis. Aber Du hast es durch Deine Formulierung erzeugt:

PHP, das auf deinem Server läuft, kann dort alle Dateien ändern oder löschen und wenn irgendein Skript das auf dem Server liegt eine Sicherheitslücke hat ist sowas schnell passiert.

Deshalb mein Einwand "Jein".

PHP kann NICHT _alle_ Dateien ändern auf einem Server, wenn es richtig eingerichtet wird. Entweder läuft es z.B. als CGI unter dem User des jeweiligen Accounts oder es läuft z.B. als Modul des Webservers. Als Modul beschränkt sich das PHP selbst durch die Einstellung 'open_basedir', in welchen Pfaden es aktiv werden darf. Wenn das PHP-Modul also nicht selbst beschädigt ist, kann der Serverbetreuer durchaus festlegen, dass PHP, benutzt für eine Domain, nicht auf die Daten einer anderen Domain zugreifen darf.

Und das sollte er auch.

Ordentliche Einrichtung und Trennung von

• upload-Temp-Dir
• Session-Dir
• open_basedir

werden aber (bei der Modulversion) gerne vergessen.

Liebe Grüße aus dem schönen Oberharz

Tom vom Berg