Комментарии на: Server / Памятка начинающим хостерам по затыканию дырок в PHP

От: Denya

Denya — Wed, 09 Apr 2008 11:36:19 +0000

Интересно :)

Надо потестировать. Ведь таким макаром можно ВСЕ что угодно менять, так?

От: Джетман

Джетман — Sun, 06 Apr 2008 21:57:15 +0000

А что насчет запрета ini_set? ini_set ('max_execution_time', 9000); и вуаля!

От: Denya’s blog » News / Дырка в PHP4,5

Denya’s blog » News / Дырка в PHP4,5 — Fri, 06 Oct 2006 22:37:58 +0000

[...] Решение простое. В списку запрещенных функций надо добавить symlink. Как это делалось — можно почитать в моей маленькой памятке по затыканию дыр. Technorati tags: news, php, security [...]

От: BOLK

BOLK — Mon, 01 May 2006 07:46:10 +0000

Конечно же, PHP можно запускать через suEXEC.

А для PHP в режиме mod_php можно использовать mod_become и его родственников.

От: Denya

Denya — Sat, 29 Apr 2006 12:52:46 +0000

Угу. Надо почитать про плюсы и минусы такого решения.

От: mivlad

mivlad — Sat, 29 Apr 2006 12:30:48 +0000

Апач имеет доступ ко ВСЕМ файлам ВСЕХ виртуальных хостов. Такова необходимость, иначе он не мог бы их отображать и отдавать клиентам. Соответственно, их можно удалить.

Вряд ли. Вот считать оттуда пароль базы и удалить что-нибудь в ней — это да.

А вообще, не исключено, что эта проблема на корню решается использованием php через FastCGI.

От: H.NET :: Выпуск #242 :: April :: 2006

H.NET :: Выпуск #242 :: April :: 2006 — Sat, 29 Apr 2006 11:47:46 +0000

[...] Памятка начинающим хостерам по затыканию дырок в PHP. Любопытно, это только автору статьи так повезло, или эта «дырка» действительно широко распространена? Я, к сожалению, не специалист в этом вопросе, поэтому прошу помощи у аудитории. Я не знаю, как дела обстоят у крупных хостеров, но почему-то мне кажется, что у 50% эта дырка есть. [...]

От: Новости 2.0

Новости 2.0 — Fri, 14 Apr 2006 23:51:22 +0000

Обсудите эту новость на news2.ru.....

...