Antwort: [Lugbz-list] PHP und Sicherheit

hast du alle Absicherungsmöglichkeiten in deiner php.ini aktiviert?

open_basedir
safe_mode + siehe http://it.php.net/manual/de/security.php

Außerdem ist es oft zu überlegen ob Benutzern mit FTP-Upload-Rechten
überhaupt Zugriff auf Scripting/CGI-Systeme gegeben werden soll....
grundsätzlich ist davon abzuraten, nicht in jedem Fall ist es möglich. Eine
feiner Granularität erhält man allerdings sicher wenn man die PHP-Handler
nur auf Virtualhostbasis aktiviert und nicht global.

Grüße,

Günther

Günther Mair
Internet Engineer

ENERGIS Italia GmbH
Pfarrhofstrasse 60/A
I-39100 Bozen (BZ)
Tel.: +39 0471 254000
Fax: +39 0471 251617
Email: guenther.mair(a)energis.it
Web: http://www.energis.it

                    greeny
                    <greeny(a)gamersre An: lugbz-list(a)lugbz.org
                    volt.it> Kopie:
                    Gesendet von: Thema: [Lugbz-list] PHP und Sicherheit
                    lugbz-list-admin
                    @lugbz.org
                                                                                                                                   
                    24.07.2003 19:30
                    Bitte antworten
                    an lugbz-list
                                                                                                                                   
hallo
ich hab heute beim arbeiten bei uns auf dem server eine file endeckt, mit
der man es schafft über php in jedes beliebiege verzeichniss auf dem server

auf dem es liegt zu wechseln. warscheinlich kennen es einige schon aber für

die die es nicht kennen
http://greeny.dyndns.org/php-script

vorerst hab ich mal denn befehl opendir aus dem php rausgennommen indem ich

es unter disable_functions getan habe.
ich wollte aber fragen ob jemand eine besser lösung weis! weil bis jetzt
hab ich noch keinen server gefunden bei dem das script nicht geklappt hat!
danke

mit freundlichen grüßen
matthias