Bekijk Volledige Versie : securing php?
Geoschmucker
22/01/06, 17:29
Met php kun je de open_basedir instellen om te zorgen dat de gewone scripts alleen maar dingen kunnen doen in bepaalde directories. echter hoe voorkom je dat men via shell ("cat /home/aap/db.inc.php") gaan klooien.. zonder de safe aan te zetten.
slopen jullie alle shell achtige commando's er uit met disable_functions of doen jullie dit op een totaal andere manier?
thankz
Wij hebben alle shell functies eruit, open basedir en safe-mode. Of we wget enz gechmod hebben weet ik niet uit mijn hoofd.
Geoschmucker
25/01/06, 22:07
iemand nog meer ideeen? hoe doen jullie dat op jullie servers.. ik zal vast niet de enige zijn met deze vragen?
Swiftway-UK
25/01/06, 23:16
Denk eens aan fastcgi ipv PHP :)
Safemode off, open_basedir aan en disable_functions werkt goed. Safemode aan is natuurlijk de veiligste oplossing, maar beperkt de functionaliteit ook erg.
Mensen kunnen altijd nog via cronjobs shell commands runnen.. dus disable_functions heeft ook niet echt veel nut... najah voor stomme hackertjes dan ;)
Het verschil is dat het met cronjobs onder de eigen username draait en met PHP onder de Apache username.
hostingpower
26/01/06, 11:12
Origineel geplaatst door Geoschmucker
Met php kun je de open_basedir instellen om te zorgen dat de gewone scripts alleen maar dingen kunnen doen in bepaalde directories. echter hoe voorkom je dat men via shell ("cat /home/aap/db.inc.php") gaan klooien.. zonder de safe aan te zetten.
slopen jullie alle shell achtige commando's er uit met disable_functions of doen jullie dit op een totaal andere manier?
thankz
Wij hebben gewoon Mod_Security & open_basedir aangezet!
Dit werkt prima, safe mode staat bij ons on zodat de klanten nog wel sommige scripts kunnen uitvoeren
Origineel geplaatst door hostingpower
Dit werkt prima, safe mode staat bij ons on zodat de klanten nog wel sommige scripts kunnen uitvoeren
Off bedoel je dan neem ik aan.
hostingpower
27/01/06, 18:58
Origineel geplaatst door wdv
Off bedoel je dan neem ik aan.
inderdaad, even niet op gelet!