Re: [OT] - Impedire a PHP di vedere file e directory al di fuori del DocumentRoot
Il giorno mar, 01/09/2009 alle 16.22 +0200, Gianluca Gentile ha scritto: > Ho risolto mettendo nel virtual host: > > php_admin_value open_basedir "/directory/" > > E' la soluzione migliore? No, e` deprecato e verra` tolto, assieme al safe_mode, dalla versione 6 di PHP. Come soluzione temporanea va bene, ma inizia ad organizzarti per il futuro. Il modo corretto e` di usare suphp come dice il mio omonimo :) oppure apache itk, e di separare i virtual host assegnando ad ognuno un utente di sistema. Poi gestisci i permessi di accesso coi soliti metodi (chmod). Bye. -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: [OT] - Impedire a PHP di vedere file e directory al di fuori del DocumentRoot
Gianluca Gentile ha scritto: > Salve, > scusate l'off-topic. > Ho la necessità di impedire a tutti gli script PHP di un determinato > virtual host di "uscire" dalla DocumentRoot impostata e quindi non > consentire loro di leggere file presenti in altre directory del file > system. > storicamente la direttiva open_basedir dovrebbe essere quella indicata per questa esigenza, ma non sembra essere apprezzata globalmente come "modello di sicurezza" ad ogni modo puoi impostarla a livello di VirtualHost in questo modo magari da usare in combinazione con php_value include_path ... php_admin_value open_basedir "mio_path:altro_path" ... sempre che il tuo PHP non "giri" come cgi... che rende impossibile l'uso dei comandi php_admin_value. O non utilizzi il modulo vhost_alias, in questo caso risulta quasi impossibile passare le variabili necessarie a definire il path dinamicamente per cercare di incrementare la sicurezza esistono software di terze parti, uno di questi è suphp che fa in modo di eseguire tutti gli script php con l'UID dell'utente anziché apache, suphp in combinazione con un modello di permessi ad hoc semplifica la vita in caso di hosting condiviso ed è una situazione di sicurezza accettabile, ovvero, dal mio punto di vista è un buon compromesso vedi anche: file:///usr/share/doc/php5-common/README.Debian.security Alessandro -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Re: [OT] - Impedire a PHP di vedere file e directory al di fuori del DocumentRoot
Il giorno 01 settembre 2009 16.04, Gianluca Gentile ha scritto: > Salve, > scusate l'off-topic. > Ho la necessità di impedire a tutti gli script PHP di un determinato > virtual host di "uscire" dalla DocumentRoot impostata e quindi non > consentire loro di leggere file presenti in altre directory del file > system. > > Grazie per le eventuali risposte, > Gianluca > Ho risolto mettendo nel virtual host: php_admin_value open_basedir "/directory/" E' la soluzione migliore? Gianluca -- Per REVOCARE l'iscrizione alla lista, inviare un email a debian-italian-requ...@lists.debian.org con oggetto "unsubscribe". Per problemi inviare un email in INGLESE a listmas...@lists.debian.org To UNSUBSCRIBE, email to debian-italian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
