[php] Bezpieczeństwo. Dostep skryptu php do katalogów podrzędnych?, Jak ograniczyć zasięg kodu php. Opcje

[starterrrrr]

Witam.

Zastanawiam się nad kwestią bezpieczeństwa skryptu. Prosze mi podpowiedzieć, jak ograniczyć dostęp skryptom tylko do pewnego poziomu katalogów, tak, żeby któś z poziomu skryptu php nie mógł mi zajrzeć co mam niżej.


Kiedyś widziałem na serwerze taki mechanizm, wiem, że sprawiałmi problemy własnie z dostępem do pewnych niższych katalogów, nie wiem, czy admin to nie wyłączył, było to chyba w trybie safe_mode.
Teraz widze, że jest to bardzo dobre rozwiązanie.

Prosze o jakąś podpowiedź. Czy można to zrobić dla całego serwera? Czy można zrobić wyjątek dla okreslonych plików?

[Damonsson]

instancja_skryptu1 - tworzysz nowego usera systemu o nazwie np: "instancja_skryptu1"
instancja_skryptu2 - tworzysz nowego usera systemu o nazwie np: "instancja_skryptu2"

Wtedy ustawiasz odpowiednie uprawnienia i użytkownik np. "instancja_skryptu2" nie zejdzie niżej niż do swojego folderu "instancja_skryptu2". I jak gość chce dostęp do FTP, podajesz mu dane do konta "instancja_skryptu2".

A jak chcesz dać dostęp do jeszcze wyższego katalogu, to sobie tworzysz jeszcze nowego usera np o nazwie "specjalny", który ma dostęp tylko do "/html/instancja_skryptu2/obrazki/nietajne" i wyżej, ale nie niżej. Oczywiście jak robisz to często to musiałbyś sobie napisać jakiś prosty skrypt do tworzenia takich użytkowników.

[starterrrrr]

Witam.

Wyczytałem, że jest do tego mechanizm OPEN_BASEDIR, który nada się idealnie.

podglądając php_info() widzę, że open_basedir ma taką wartość:

Kod

/alt/home/webmaster.darex/:/home/webmaster.darex/:/usr/lib/php:/var/lib/php/darex

Myślałem, żeby w katalogu html/ umieścić plik .htaccess a w nim wartość:

Kod

php_value open_basedir /alt/home/webmaster.darex/html/katalog_z_instancja/

Zamiast "katalog_z_instancja" można by dac *, żeby wszystkie katalogi z automatu były objęte.

Ten post edytował starterrrrr 31.08.2016, 11:15:57