Em Qui, 2007-01-25 às 12:22 -0300, Silmar Oliveira escreveu: > Olá, lista > > Configurei o php.ini mais ou menos como ele veio ao mundo e, dentre as > opções de segurança, em disable_functions, desabilita várias funções, > inclusive a dir(). > Ocorre que, segundo a equipe de programação, esta função é bastante utilizada. > Pelo que entendi, esta função permite varrer diretórios dentro do > servidor (Se eu estiver errado, podem me corrigir). > A pergunta é a seguinte: Teria como eu isolar somente o diretório a > ser pesquisado pela página desejada pelo programador através do > php.ini? > > Agradeço desde já. > > Silmar > -------------------------
não tem como limitar até onde eu vi no manual http://br.php.net/manual/en/ref.dir.php Lembre que o php é rodado pelo apache , portanto ele vai ver o que o seu usuario www pode ver a principio. 99,99% das falhas de segurança são decorrente ao mau uso da ferramenta de programação , portanto a principio se os programadores usam essa função em algum script isso não torna a aplicação necessariamente critica em relação a segurança , mas se ele deixa o patch ser passado por get ou post isso sim é uma falha de segurança da aplicação. Normalmente as falhas de segurança das aplicações via web são relacionadas a certos "automatismos" na construção da aplicação, comando criticos devem ser tratados como criticos e merece todo o cuidado. Se quem desenvolve a aplicação que roda no seu servidor não tem conhecimento ou capacidade para isso melhor trocar de programador, no caso de hosting complica , mas se vc quer por si mesmo afastar qualquer possibilidade o freebsd tem muitos recursos desde simplesmente montar a partição documet_root como nosuid,noexec,ro e acls : man mount acls Enable Access Control Lists, or ACLS, which can be cus- tomized via the setfacl(1) and getfacl(1) commands. vc ainda tem o jail para separar a aplicação do sistema base. boa sorte []'s _______________________________________________________ Yahoo! Mail - Sempre a melhor op��o para voc�! Experimente j� e veja as novidades. http://br.yahoo.com/mailbeta/tudonovo/
------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd