Ik kwam een uitspraak tegen die mij nogal zeer verbaasde.
In disable_functions van php.ini heb ik o.a. exec, proc_open, escapeshellarg en popen staan zodat die uitgeschakeld zijn.
Nu beweerde iemand dat dit niet meer nodig zou zijn voor "beveiligingsredenen". Dus klaarblijkelijk gelooft hij daar niet in.
Voor proc_open kan dat kloppen als je met php-fpm werkt of mod_ruid2 hebt draaien.
Maar hoe zit dat voor de rest? Ik lees nog altijd overal dat dit toch tot de basis beveiliging van shared hosting hoort en dit wordt bijv. ook nog altijd standaard (samen met nog wat anderen) in de disable_functions gezet als je in Directadmin de secure_php optie aan zet.
Dat is dan toch niet voor niks lijkt me.
Of is er in de afgelopen jaren zoveel verandert dat het opeens niet meer zoveel uit maakt? Terwijl kwaadwillende nog altijd in staat zijn om via lekke scripts of thema's php bestanden naar een account te uploaden?