subject:"\[FUG\-BR\] \[OFF TOPIC\]php.ini \- bloqueio da fu nção dir\(\)"

[FUG-BR] [OFF TOPIC]php.ini - bloqueio da fu nção dir()

2007-01-25 Por tôpico Silmar Oliveira

Olá, lista

Configurei o php.ini mais ou menos como ele veio ao mundo e, dentre as
opções de segurança, em disable_functions, desabilita várias funções,
inclusive a dir().
Ocorre que, segundo a equipe de programação, esta função é bastante utilizada.
Pelo que entendi, esta função permite varrer diretórios dentro do
servidor (Se eu estiver errado, podem me corrigir).
A pergunta é a seguinte: Teria como eu isolar somente o diretório a
ser pesquisado pela página desejada pelo programador através do
php.ini?

Agradeço desde já.

Silmar
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Re: [FUG-BR] [OFF TOPIC]php.ini - bloqueio da fu nção dir()

2007-01-25 Por tôpico Marcello Costa

Em Qui, 2007-01-25 às 12:22 -0300, Silmar Oliveira escreveu:
 Olá, lista
 
 Configurei o php.ini mais ou menos como ele veio ao mundo e, dentre as
 opções de segurança, em disable_functions, desabilita várias funções,
 inclusive a dir().
 Ocorre que, segundo a equipe de programação, esta função é bastante utilizada.
 Pelo que entendi, esta função permite varrer diretórios dentro do
 servidor (Se eu estiver errado, podem me corrigir).
 A pergunta é a seguinte: Teria como eu isolar somente o diretório a
 ser pesquisado pela página desejada pelo programador através do
 php.ini?
 
 Agradeço desde já.
 
 Silmar
 -

não tem como limitar até onde eu vi no manual

http://br.php.net/manual/en/ref.dir.php

Lembre que o php é rodado pelo apache , portanto ele vai ver o que o seu
usuario www pode ver a principio.

99,99% das falhas de segurança são decorrente ao mau uso da ferramenta
de programação , portanto a principio se os programadores usam essa
função em algum script isso não torna a aplicação necessariamente
critica em relação a segurança , mas se ele deixa o patch ser passado
por get ou post isso sim é uma falha de segurança da aplicação.
Normalmente as falhas de segurança das aplicações via web são
relacionadas a certos automatismos na construção da aplicação, comando
criticos devem ser tratados como criticos e merece todo o cuidado.

Se quem desenvolve a aplicação que roda no seu servidor não tem
conhecimento ou capacidade para isso melhor trocar de programador, no
caso de hosting complica , mas se vc quer por si mesmo afastar qualquer
possibilidade o freebsd tem muitos recursos desde simplesmente montar a
partição documet_root como nosuid,noexec,ro e acls :

man mount

aclsEnable Access Control Lists, or ACLS, which can be cus-
 tomized via the setfacl(1) and getfacl(1) commands.

vc ainda tem o jail para separar a aplicação do sistema base.

boa sorte

[]'s



___ 
Yahoo! Mail - Sempre a melhor op��o para voc�! 
Experimente j� e veja as novidades. 
http://br.yahoo.com/mailbeta/tudonovo/
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

[FUG-BR] [OFF TOPIC]php.ini - bloqueio da fu nção dir()

Re: [FUG-BR] [OFF TOPIC]php.ini - bloqueio da fu nção dir()

2 matches

Site Navigation

Mail list logo

Footer information