bezpieczenstwo IIS + PHP

bezpieczenstwo IIS + PHP, problem includowania

pejotr Zobacz profil	27.09.2009, 14:08:04 Post #1
Grupa: Zarejestrowani Postów: 16 Pomógł: 0 Dołączył: 21.08.2007 Ostrzeżenie: (0%)	Moje pytanie dotyczy zabezpieczenia serwera IIS przed możliwością includowania przy pomocy PHP funkcji include wrażliwych plików. Korzystam z FastCGI i PHP fajnie działa. W pliku php.ini mam ustawione open_basedir = C:\Sites\ co elegancko ogranicza możliwość includowania plików do c:\Sites. Ale można za to ze strony należącej do uzytkownia A np.: c:\Sites\A\1.php zaincludowac sobie stronę użytkowniak B c:\Sites\B\tajne.txt co mi się oczywiście nie podoba. Znalazłem w internecie jak ustawić open_basedir dla każdego użytkownika/każdej strony nie zależnie tak że może on includować pliki tylko ze swojego katalogu. Wtedy podany wyżej przykład nie zadziała, a czy jest to odpowiednia metoda ? Czy powinno się jakoś inaczej ograniczyć takie includowanie ?

bełdzio Zobacz profil	28.09.2009, 00:03:17 Post #2
Grupa: Zarejestrowani Postów: 690 Pomógł: 81 Dołączył: 6.04.2005 Skąd: Szczecin Ostrzeżenie: (0%)	tak jest to odpowiednia metoda, jak przychodzi Ci nazwa pliku od użytkownika użyj funkcji basename w celu "oczyszczenia" jej ze zbędnych katalogów więcej możesz znaleźć tu -> http://www.beldzio.com/bezpieczenstwo-dostepu-do-plikow -------------------- Let's Rock! - Agencja interaktywna dla wymagających O tworzeniu (bezpiecznych) aplikacji internetowych

1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Standardowy · Przełącz na: Linearny+ · Przełącz na: Drzewo

Aktualny czas: 5.06.2024 - 01:59

Hosting zapewnia