[mdk-re] LRN & database.inc
Anton Farygin
=?iso-8859-1?q?rider_=CE=C1_altlinux=2Eru?=
Чт Май 24 10:49:00 MSD 2001
Mikhail Zabaluev wrote:
> Hello Anton,
>
> On Wed, May 23, 2001 at 03:32:09AM +0400, Anton Farygin wrote:
>
>>Vyt wrote:
>>
>>
>>>Hello, All
>>>
>>>Обнаружилось, что /var/www/html/LRN/database.inc имеет права
>>>-rw-r--r-- 1 root root 2228 Май 16 12:57 database.inc
>>> ^
>>>А ведь там пароль для доступа к базе данных. Или это у меня что-то
>>>сглючило?
>>>
>>Нет не сглючило.
>>На мой взгляд бесмысленно закрывать файл с паролем, который может
>>прочитать любой пользователь, положивший небольшой PHP скриптик к себе в
>>~/public_html/ ;-(
>>
>>А те, кто действительно хочет закрыть - закроют его правами. Но все
>>равно он должен читаться для пользователя apache, что означает его
>>возможное открытие любым пользователм, который имеет права и умение
>>писать скрипты для своей странички.
>>
>
> Можно и, наверное, даже нужно задать для PHP параметр open_basedir,
> где перечислить безопасный набор каталогов, в которых скрипты могут
> открывать файлы. Это, насколько я знаю, влияет и на require/include, и
> на exec и пр. Указание "." будет открывать для каждого скрипта его
> каталог. А в отдельных сайтах open_basedir можно расширять по вкусу.
> Пользовательские CGI _нужно_ запускать через suexec.
> Так что проблема решаема хотя бы теоретически.
Понятно.
Итак, посмотрим - что же для меня нужно:
1. Включать библиотеки LRN, которые в данный момент лежат в составе
сайта, но есть мысль вынести их за его пределы.
2. Включать database.inc, в котором будут настройки сайтов и пароли
доступа к базам.
3. Читать/писать в /tmp
4. Читать .theme файлы, которые в принципе могут лежать в любом месте
системы, в том числе и в пользовательских каталогах (форум на
gimp.linux.ru.net так и реализован).
И еще - а как в таком случае обстоят дела с запуском внешних программ?
Например тип файла я определяю с помощью системной утилиты file, которая
обращается к /etc/mime-magic и /usr/share/mime ???
Вроде как пока все. Т.е. - теоретически это можно организовать
Будем думать ;-)
Rgds
Rider
Подробная информация о списке рассылки community