В PHP4 и PHP5 обнаружена новая проблема безопасности (http://www.hardened-php.net/advisory_082006.132.html), дающая возможность злоумышленнику получить доступ ко всей файловой системе несмотря на ограничения Open_Basedir.
В качестве временного решения достаточно запретить использование функции symlink() через disable_functions в php.ini.URL: http://secunia.com/advisories/22235/
Новость: http://www.opennet.me/opennews/art.shtml?num=8466
За..ли PHP'цы со своими многочисленными дырками. Это помимо всего прочего.
Почему вас это беспокоит?
кстати в mod_perl нету даже такого хоить и кривого решения
к счастью
Да что же все так не любят php ?
Забыли добавить что подвержены данной проблеме только Nix системы, потому как Windows - слишком ущербная для этого. И если хотя бы одна из платформ не подвержена, значит проблема не языка ?
А что, господин рассматривает windows как платформу для организации web-сервера с PHP?Удачи...
Для разработки - да. 99% известных мне разработчиков сидят на XP. WAMP.
И Cygwin X.
Какие проблемы с безопасностью на хосте разработчика? :)
С тех самых пор, как специфическая возможность ОС стала ошибкой языка, хотя решать вопросы безопастности должен вебсервер который для всех платформ един.А пока сплошные заплатки и костыли.
Т.к. DOS точно не подвержена то авторитетно заявляю что ето проблема к ПыхПых'у никакого отношения не имеет :)
И кто ж вам сказал, что open_basedir при работе в Windows не используется???
а кто сказал что в windows есть symlink ?
Никто не использовал Resin под это дело? Он вроде РНР может интерпретировать, но как он в плане скорости?
юзайте яву она ява.
> Для разработки - да. 99% известных мне разработчиков сидят на XP. WAMP
Так уж и 99?> юзайте яву она ява.
...тормозна, глюкава и тоже дырява :)
Подскажите, как правильно прописать в php.ini?
disable_functions = symlink()
на такое ругается.
>Подскажите, как правильно прописать в php.ini?
>disable_functions = symlink()
>на такое ругается.
скобки убери
>>Подскажите, как правильно прописать в php.ini?
>>disable_functions = symlink()
>>на такое ругается.
>
>
>скобки убери
убрала, та же фигня, ругается еще больше.
попробовала вариант:disable_functions =
symlink = Off
Ошибок на это не выдает, но будет ли так правильно?
>>>Подскажите, как правильно прописать в php.ini?
>>>disable_functions = symlink()
>>>на такое ругается.
>>
>>
>>скобки убери
>убрала, та же фигня, ругается еще больше.
>попробовала вариант:
>
>disable_functions =
>symlink = Off
>Ошибок на это не выдает, но будет ли так правильно?не знаю.
запихай это в symlink.php и проверь.<?php
$res=symlink ( "symlink.php", "link.php" );if ($res)
{
echo "symlinks are enabled";
}
else
{
echo "symlinks are not enabled";
}
?>
>не знаю.
>запихай это в symlink.php и проверь.
>
><?php
>$res=symlink ( "symlink.php", "link.php" );
>
>if ($res)
>{
> echo "symlinks are enabled";
>}
>else
>{
> echo "symlinks are not enabled";
>}
>?>
Правильным оказался вариант:
disable_functions = symlink
Но как то интересно он заработал, после 3 перезагрузки понял конфиг, стал работать и перестал писать ошибки. PHP что уже как винда работает, 5 раз перезагрузись и все будет Ok? Странно как то.....
>>не знаю.
>>запихай это в symlink.php и проверь.
>>
>><?php
>>$res=symlink ( "symlink.php", "link.php" );
>>
>>if ($res)
>>{
>> echo "symlinks are enabled";
>>}
>>else
>>{
>> echo "symlinks are not enabled";
>>}
>>?>
>Правильным оказался вариант:
>disable_functions = symlink
>Но как то интересно он заработал, после 3 перезагрузки понял конфиг, стал
>работать и перестал писать ошибки. PHP что уже как винда работает,
>5 раз перезагрузись и все будет Ok? Странно как то.....
так я же говорил, что скобки убери :-)
в каком виде у тебя работает пхп в с веб-сервером? php-cgi или mod_php?
и каким образом "рестартила пхп" ?
у меня изменения в php.ini вступают в силу после рестарта апача(пхп скомпилен модулем), и достаточно одного раза рестартнуть.
ось: freebsd 6.2PR.
а таких проблем как у тебя не было.
>так я же говорил, что скобки убери :-)
>в каком виде у тебя работает пхп в с веб-сервером? php-cgi или
>mod_php?
У меня через mod_php работает.
>и каким образом "рестартила пхп" ?
>у меня изменения в php.ini вступают в силу после рестарта апача(пхп скомпилен
>модулем), и достаточно одного раза рестартнуть.
Аналогично и у меня. Рестартила апач, после 3 рестарта перестал писать ошибки в логах, и сайт заработал как положено. Раньше тоже достаточно было один раз рестартануть, почему и удивляюсь :).
>ось: freebsd 6.2PR.
>а таких проблем как у тебя не было.
slackware 10, у меня таких непоняток тоже раньше не возникало.