On Wed, Aug 14, 2002 at 09:28:22PM +0700, Bayu Notonegoro wrote: > On Tue, 2002-08-13 at 16:24, Arief Yudhawarman wrote: > > Sewaktu masih pakai php-4.0.3p11, tampilan script php pada browser > > no problem. Sewaktu upgrade ke php-4.2.1, muncul pesan pd saat membuka > > tampilan http://www.myhome.com/custom.php3?isi=layan1.html : > > coba periksa php.ini bagian register_global-nya > kalo Off jadikan On > defaultnya php.ini 4.2.x sekarang register_global: Off gak kayak yang > dulu... :)
Ya, security hole. Akhirnya ketemu juga, dibantu sama rekan milis klas-talk. Sempat kebuka /etc/passwd, padahal ini hole udah terbuka entah sudah berapa tahun (1 or 2 th). Syukur, belum kena crack, but i do not know lah. Pemecahannya, agar tidak perlu capai-capai edit script php, pada php.ini biarkan register_global diset On, tapi aktifkan safe_mode (set On). Kemudian display_error diset Off, sehingga kalau-kalau ada yg coba kayak gini: http://www.myhome.com/custom.php3?isi=/etc/passwd Tidak akan ada pesan error sama sekali. Oh ya, bukankah squirrelmail mengharuskan register_global diset On ? So, rentan sekali nih squirrelmail, tapi kok di panduan README-nya tdk ada terlihat upaya untuk membuat php lebih secur ? Ini yg saya liat di versi 1.2.6, entah versi yg lebih baru 1.2.7. > > barusan upgrade dr source tarball > > btw, gimana caranya upgrade dari tarball??? Buang yg lama, ganti yg baru :-) TIA ~yudi -- Utk berhenti langganan, kirim email ke [EMAIL PROTECTED] Dapatkan FAQ milis dg mengirim email kosong ke [EMAIL PROTECTED] Informasi arsip di http://www.linux.or.id/milis.php3
