Mailinglisten-Archive |
hi,
> > Nunja. Solange funktionen wie exec(),system() dann nicht
> > Disabled sind ist open_basedir nichts Wert da ein
> > exec('/bin/cat /etc/passwd', $result,
> > $error) immer noch zum Ziel fuehrt.
Das stimmt. Aber man kann dem Kunden leicht beibringen, dass er aus
Sicherheitsgründen keine Shell-Programme ausführen darf. Ich aber zu
erklären, dass File Uploads nicht gehen ist schwierige ("Wieso denn? Ist doch
ein PHP-Feature ..").
> sehe ich das richtig, dass das problem foglendes ist:
> jeder hat sein eigenes Homeverzeichnis, auf der nur er
> zugreifen kann...
> da aber der apache und somit auch php auf alle home
> directorys zugreifen kann, steht das system offen, wie
> ein scheunentor ?
Ja. Jedes von PHP ausgeführte Script "erbt" die Rechte des Webservers. Da der
Webserver in alle Homedirs Lesezugriff haben muss, ist das Chaos
vorprogrammiert.
> naja, dann gibts aber beispielsweise kein php_auth mehr...
Ja, das vermisse ich auch. Und mit dem header() Funktionen ist auch nicht mehr
alles so trivial möglich.
-daniel
php::bar PHP Wiki - Listenarchive