bezpieczenstwo IIS + PHP, problem includowania |
bezpieczenstwo IIS + PHP, problem includowania |
27.09.2009, 14:08:04
Post
#1
|
|
Grupa: Zarejestrowani Postów: 16 Pomógł: 0 Dołączył: 21.08.2007 Ostrzeżenie: (0%) |
Moje pytanie dotyczy zabezpieczenia serwera IIS przed możliwością includowania przy pomocy PHP funkcji include wrażliwych plików. Korzystam z FastCGI i PHP fajnie działa.
W pliku php.ini mam ustawione open_basedir = C:\Sites\ co elegancko ogranicza możliwość includowania plików do c:\Sites. Ale można za to ze strony należącej do uzytkownia A np.: c:\Sites\A\1.php zaincludowac sobie stronę użytkowniak B c:\Sites\B\tajne.txt co mi się oczywiście nie podoba. Znalazłem w internecie jak ustawić open_basedir dla każdego użytkownika/każdej strony nie zależnie tak że może on includować pliki tylko ze swojego katalogu. Wtedy podany wyżej przykład nie zadziała, a czy jest to odpowiednia metoda ? Czy powinno się jakoś inaczej ograniczyć takie includowanie ? |
|
|
28.09.2009, 00:03:17
Post
#2
|
|
Grupa: Zarejestrowani Postów: 690 Pomógł: 81 Dołączył: 6.04.2005 Skąd: Szczecin Ostrzeżenie: (0%) |
tak jest to odpowiednia metoda, jak przychodzi Ci nazwa pliku od użytkownika użyj funkcji basename w celu "oczyszczenia" jej ze zbędnych katalogów więcej możesz znaleźć tu -> http://www.beldzio.com/bezpieczenstwo-dostepu-do-plikow
-------------------- |
|
|
Wersja Lo-Fi | Aktualny czas: 5.06.2024 - 01:59 |