On Tue, 20 Nov 2001 frodo@xxxxxxxxxxxx wrote:
> KV>> Что значит "забудьте" ? Вырезать из библиотеки ? Это выход. А ошибок,
> KV>> позволявших запустить из него любые команды я сам видел штук пять,
>
> А. Я, кажется, понял. Мы говорим о разных вещах, похоже, Я имел в виду
> внещний security (т.е. у вас есть скрипт на PHP, юзер его запускает), а
Здесь тоже возможны проблемы - но их куда меньше.
> Вы, похоже, внутренний (у вас есть PHP, юзер пишет для него скрипты).
Да, в основном это - но была в PHP и парочка проблем с upload'ом файлов,
через которые и удаленный пользователь мог переписывать любые файлы в
системе... Ну а дальше - заливашь .php-скрипт и см. раздел "внутренний
враг".
> Тогда дело другое. Safe mode в PHP изрядно дыряв. Его бы давно пора
> переписать наново, но ни у кого руки не доходят. А функции вырезать,
> кстати, довольно просто - в новом php есть опция в php.ini -
> disable_functions.
Да - но это уже требует глубокого ковыряния в потрохах...
=============================================================================
= Apache-Talk@xxxxxxxxxxxxx mailing list =
Mail "unsubscribe apache-talk" to majordomo@xxxxxxxxxxxxx if you want to quit.
= Archive avaliable at http://www.lexa.ru/apache-talk =
"Russian Apache" includes software developed
by the Apache Group for use in the Apache HTTP server project
(http://www.apache.org/) See
Apache LICENSE.
Copyright (C) 1995-2001 The Apache Group. All rights reserved.
Copyright (C) 1996 Dm. Kryukov; Copyright (C)
1997-2009 Alex Tutubalin. Design (C) 1998 Max Smolev.