можно ли не давать скриптам обращаться за DOCUMENT_ROOT?

Тема в разделе "PHP Pro", создана пользователем vivid, 25 май 2009.

Статус темы:
Закрыта.
  1. vivid

    vivid Постоялец

    Регистр.:
    13 апр 2009
    Сообщения:
    143
    Симпатии:
    18
    чтоб не лазили по другим каталогам скриптами. и чтоб была доступна максимум директория /tmp вне DOCUMENT_ROOT?
     
  2. PHP_Master

    PHP_Master

    Регистр.:
    3 фев 2008
    Сообщения:
    2.647
    Симпатии:
    590
    Установить PHP как CGI.
     
  3. Zeratul

    Zeratul Создатель

    Administrator
    Регистр.:
    17 мар 2006
    Сообщения:
    1.322
    Симпатии:
    3.855
    2PHP_Master. Ты имхо не прав.
    Установка PHP как CGI дает только лишь запуск php как отдельного процесса..
    Это наоборот значит что php имеет больше прав и выполняется от имени пользователя.

    Правильнее было бы ответить:
    Надо ограничить права на чтение и запись для пользователя от имени которого выполняется php :)

    Ну и не стоит забывать, что защита должна быть комплексной(лучше обратится к опытному админу).
     
  4. PHP_Master

    PHP_Master

    Регистр.:
    3 фев 2008
    Сообщения:
    2.647
    Симпатии:
    590
    Только в пределах своего аккаунта.
    Это всего лишь одна из мер.
    PHP установленный как CGI по определению более безопасен, чем mod_php и, имхо, удобен.

    Если хочется полной изоляции, то chroot и jail в руки.
     
  5. dobs

    dobs Создатель

    Регистр.:
    5 янв 2007
    Сообщения:
    40
    Симпатии:
    12
    Еслия правильно все понял то вот это надо в конфиги вирт хоста вписать

    php_admin_value open_basedir "/home/user.../:."
     
    Counters нравится это.
  6. tostrss

    tostrss

    Регистр.:
    16 окт 2007
    Сообщения:
    771
    Симпатии:
    217
    Я бы не был так уверен с бейсдире, под него штук 7-8 есть способов обхода..курл, бзопен, инклуд,сессии и т.д.

    и новые обходы появляются все чаще и чаще.
     
  7. vivid

    vivid Постоялец

    Регистр.:
    13 апр 2009
    Сообщения:
    143
    Симпатии:
    18
    php_admin_value open_basedir "/home/user.../:."
    это safe_mode???? он имеет кажется побочные эфекты, кажется
     
  8. dobs

    dobs Создатель

    Регистр.:
    5 янв 2007
    Сообщения:
    40
    Симпатии:
    12
  9. studentpm

    studentpm

    Регистр.:
    8 ноя 2006
    Сообщения:
    184
    Симпатии:
    132
    Покажи хоть один пример обхода.
    Если нет явных дыр в конфигурации то опен-баседир спасает.
     
Статус темы:
Закрыта.