[Comm] php script can read any file?! (Apache)

Artem K. Jouravsky =?iso-8859-1?q?ujo_=CE=C1_dataforce=2Enet?=
Вс Ноя 3 17:09:21 MSK 2002


On Fri, Nov 01, 2002 at 05:52:24PM +0300, Carry Ram wrote:
> >> На Апаче 1.3.22 товарищь поднял виртуальный хост, его
> >> пользователь загружает туда php-скрипт, и с помощью него может
> >> читать любой файл на сервере!!! Я сам с php знаком плохо, и не
> >> знаю что ему посоветовать, чтобы php скриптам из под Апача не
> >> были видны никакие другие директории выше пользовательской :((
> >> Подскажите кто сталкивался.
> >В /etc/httpd/conf/php.ini 
> >safe_mode=on
> 
> Уже нашел Ж), спасибо.
> Но этого мало, нужно еще в конфигах virtualhost'a прописать:
> 
> php_admin_value open_basedir /путь/к/диру/
> 
> пойду пробовать, поможет - поделюсь...
Есть ещё вариант. Запускать php как CGI, т.е. как интертрепатор only. Ну и
поставить suexec. Дальше скрипты запускаются от имени
пользователя-владельца, остальное -- дело техники.

-- 
Best wishes,
Artem K. Jouravsky,
iFirst Ltd, System Administrator.
-----------------------
Budget cuts



Подробная информация о списке рассылки community