Em Qui, 2007-01-25 às 12:22 -0300, Silmar Oliveira escreveu:
> Olá, lista
>
> Configurei o php.ini mais ou menos como ele veio ao mundo e, dentre as
> opções de segurança, em disable_functions, desabilita várias funções,
> inclusive a dir().
> Ocorre que, segundo a equipe de programação, esta função é bastante utilizada.
> Pelo que entendi, esta função permite varrer diretórios dentro do
> servidor (Se eu estiver errado, podem me corrigir).
> A pergunta é a seguinte: Teria como eu isolar somente o diretório a
> ser pesquisado pela página desejada pelo programador através do
> php.ini?
>
> Agradeço desde já.
>
> Silmar
> -
não tem como limitar até onde eu vi no manual
http://br.php.net/manual/en/ref.dir.php
Lembre que o php é rodado pelo apache , portanto ele vai ver o que o seu
usuario www pode ver a principio.
99,99% das falhas de segurança são decorrente ao mau uso da ferramenta
de programação , portanto a principio se os programadores usam essa
função em algum script isso não torna a aplicação necessariamente
critica em relação a segurança , mas se ele deixa o patch ser passado
por get ou post isso sim é uma falha de segurança da aplicação.
Normalmente as falhas de segurança das aplicações via web são
relacionadas a certos "automatismos" na construção da aplicação, comando
criticos devem ser tratados como criticos e merece todo o cuidado.
Se quem desenvolve a aplicação que roda no seu servidor não tem
conhecimento ou capacidade para isso melhor trocar de programador, no
caso de hosting complica , mas se vc quer por si mesmo afastar qualquer
possibilidade o freebsd tem muitos recursos desde simplesmente montar a
partição documet_root como nosuid,noexec,ro e acls :
man mount
aclsEnable Access Control Lists, or ACLS, which can be cus-
tomized via the setfacl(1) and getfacl(1) commands.
vc ainda tem o jail para separar a aplicação do sistema base.
boa sorte
[]'s
___
Yahoo! Mail - Sempre a melhor op��o para voc�!
Experimente j� e veja as novidades.
http://br.yahoo.com/mailbeta/tudonovo/
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
