phpbar.de logo

Mailinglisten-Archive

[php] safe-mode ... uploaddir in htaccess setzen

[php] safe-mode ... uploaddir in htaccess setzen

Hartwin Rohde hartwin.rohde_(at)_gmx.net
Sun, 25 Feb 2001 22:00:14 +0100 (MET)


> Hi Philip,
Und nun mein Senf zu dieser Antwort:

> so ganz bin ich mit Deinen Hinweisen nicht einverstanden.

:-) Naja, Ich konnte nur aus meiner Realität berichten (was auch eine sehr
fließende Grenze zu haben scheint).
 
> - die Datei wird in ein Verzeichnis 'geuploadet',
>   das in TMPDIR festgelegt wird (laut Manual)

Stimmt so, und ist auch nachvollziehbar, sie taucht ganz kurz auf und hat
immer die UID dessen, der das tmp-Dir besitzt (also root, also UID 0)

> - in TMPDIR kann normalerweise jeder schreiben und lesen,
>   deswegen steht auch im Manual, dass man sie von dort
>   verchieben soll.

Stimmt, jeder kann schreiben, was ja auch ordnungsgemäß passiert. Lesen kann
auch jeder, was per Shell-Script auch funktioniert. Tja, aber da gibs ja
noch den safe_mode, der verhindert, daß ein php-Script mit UID 'x' auf die
Dateien von UID 'y' zugreifen kann. Und nun rate mal, wem meine PHP-Scripte
gehören. .... Nein, ich bin nicht root auf dem Rechner.

> - in einigen Versionen, oder vielleicht auch grundsaetzlich
>   (ich habe es nicht getestet), wird 'userfile' beim Beenden
>   des Scriptes automatisch geloescht.

Wird immer gelöscht, doch das ist nicht mein Problem. Ich kann schon vorher
als Unwürdiger (nicht root) nicht auf die Datei zugreifen.

> - mit safe_mode hat das alles nicht viel zu tun, da mein
>   Mail-Script auf vielen Plattformen und unter verschiedensten
>   Sicherheitsanspruechen fehlerfrei laeuft. Und da ist ein
>   multibles Attachement eingebaut -> Fileupload -> :-)

Hast Du es auch schon mal getestet ohne auf ner *IX - Maschine root zu sein?

> - ob man TMPDIR in der .htaccess setzen kann weiss ich nicht,
>   weil mir noch nie die Idee gekommen ist, dies zu aendern.

Das haben mir alle gesagt, die auf ihren Kisten als root arbeiten. Wenn die
Systemvariable aber verändert wird, dann sorgt sich ja das System genau so
rührend um das neue Verzeichnis, wie sonst um das andere.

>   TMPDIR wird IMHO vom OS 'ueberwacht' und 'reingehalten',
>   den Stress wuerde ich immer umgehen...

Das ist ja leider auch nicht das Thema.

> Sollte ich mich irren,
> nehme ich alles zurueck und behaupte das Gegenteil...
>                                           <von Joerg geklaut>

-- 
CU/2 und danke für die Aufmerksamkeit,
Hartwin Rohde

Sent through GMX FreeMail - http://www.gmx.net


php::bar PHP Wiki   -   Listenarchive