Wie kann ich Code Injection in meinen Scripten verhindern?

Eine wirksame Maßnahme gegen einen Angriff durch sogenanntes Code Injection ist ein .htaccess-Eintrag:

Erstellen Sie in dem Ordner, in dem Ihre Scripte liegen eine Datei namens ".htaccess". Diese sollte den folgenden Inhalt haben:

RewriteEngine on
RewriteCond %{QUERY_STRING} http[:%] [NC]
RewriteRule .* http[F,NC]
RewriteRule http: http[F,NC]

Dies blockt alle URLs ab, die über ein externes Include Ihrer Dateien aufgerufen werden sollen. Aus diesem Grund ist dies nur zu empfehlen, wenn Ihre Scripts auf keinen Fall externe Includes verwenden sollen.

Eine weitere Sicherheit bietet das deaktivieren der PHP Direktive allow_url_fopen. Hierzu müssen Sie eine Datei namens php.ini in Ihrem Verzeichnis erstellen, das den folgenden Inhalt hat:

allow_url_fopen = Off

Durch diesen Eintrag wird festgelegt, ob PHP Dateien per http aufrufen darf. Dies wird beispielsweise bei Aufrufen von RSS Feeds benötigt, sollte aber deaktiviert sein, wenn es von den Scripts nicht benötigt wird.

Beachten Sie bitte, dass dieser Beitrag sich auf ein veraltetes Produkt bezieht. Wir empfehlen dringend die Umstellung auf ein aktuelles Webhostingpaket.
Weitere Information dazu finden Sie in dem Beitrag: "Migration zu Plesk: Wie gehe ich vor?"