ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 

  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА














     АРХИВ :: Apache-Talk
Apache-Talk mailing list archive (apache-talk@lists.lexa.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [apache-talk] php & security





On Tue, 20 Nov 2001 frodo@sharat.co.il wrote:

> KV>> Что значит "забудьте" ? Вырезать из библиотеки ? Это выход. А ошибок,
> KV>> позволявших запустить из него любые команды я сам видел штук пять,
>
> А. Я, кажется, понял. Мы говорим о разных вещах, похоже, Я имел в виду
> внещний security (т.е. у вас есть скрипт на PHP, юзер его запускает), а

Здесь тоже возможны проблемы - но их куда меньше.

> Вы, похоже, внутренний (у вас есть PHP, юзер пишет для него скрипты).

Да, в основном это - но была в PHP и парочка проблем с upload'ом файлов,
через которые и удаленный пользователь мог переписывать любые файлы в
системе... Ну а дальше - заливашь .php-скрипт и см. раздел "внутренний
враг".

> Тогда дело другое. Safe mode в PHP изрядно дыряв. Его бы давно пора
> переписать наново, но ни у кого руки не доходят. А функции вырезать,
> кстати, довольно просто - в новом php есть опция в php.ini -
> disable_functions.

Да - но это уже требует глубокого ковыряния в потрохах...

=============================================================================
=               Apache-Talk@lists.lexa.ru mailing list                      =
Mail "unsubscribe apache-talk" to majordomo@lists.lexa.ru if you want to quit.
=       Archive avaliable at http://www.lexa.ru/apache-talk                 =



 




Copyright © Lexa Software, 1996-2009.