[mdk-re] LRN & database.inc

[Mikhail Zabaluev]

Hello Anton,

On Wed, May 23, 2001 at 03:32:09AM +0400, Anton Farygin wrote:
>
> Vyt wrote:
> 
> > Hello, All
> > 
> > Обнаружилось, что /var/www/html/LRN/database.inc имеет права
> > -rw-r--r--    1 root     root         2228 Май 16 12:57 database.inc
> >        ^
> > А ведь там пароль для доступа к базе данных. Или это у меня что-то
> > сглючило?
> 
> Нет не сглючило.
> На мой взгляд бесмысленно закрывать файл с паролем, который может 
> прочитать любой пользователь, положивший небольшой PHP скриптик к себе в 
> ~/public_html/ ;-(
> 
> А те, кто действительно хочет закрыть - закроют его правами. Но все 
> равно он должен читаться для пользователя apache, что означает его 
> возможное открытие любым пользователм, который имеет права и умение 
> писать скрипты для своей странички.

Можно и, наверное, даже нужно задать для PHP параметр open_basedir,
где перечислить безопасный набор каталогов, в которых скрипты могут
открывать файлы. Это, насколько я знаю, влияет и на require/include, и
на exec и пр. Указание "." будет открывать для каждого скрипта его
каталог. А в отдельных сайтах open_basedir можно расширять по вкусу.
Пользовательские CGI _нужно_ запускать через suexec.
Так что проблема решаема хотя бы теоретически.

-- 
Stay tuned,
  MhZ                                     JID: mookid на jabber.org
___________
If this is a service economy, why is the service so bad?