Apache2 + PHP5 ENV

Michal Varga varga at stonehenge.sk
Fri Mar 4 10:51:53 CET 2005


On Fri, 2005-03-04 at 01:50 +0100, Martin Balint wrote:
> No vseobecne asi vsetko, niesom na to velmi zvyknuty, ze je mozne si 
> systemove premenne precitat na webe...
> Mozno to je len nejaka paranoia bez praktickeho dovodu, dost ma to ale 
> zaskocilo, ked som to tam uvidel.
>
A to este asi nevies, ze tie premenne php umoznuje aj menit :)
http://cz.php.net/manual/en/function.putenv.php

Seriozne - su tam bezne premenne, ktore ti bezne nabehnu po spusteni
shellu a php (v kontexte apache) nema byt preco vynimkou. Tym, ze tie
premenne odstranis v praxi vobec nic nedosiahnes a naopak sa ti moze
stat, ze ti nejaka cast php prestane bezat (aj ked aktualne mi ziadne
zavistosti na konkretnych envvars nenapadaju). Samozrejme, pokial si tie
premenne prestudujes, zistis, ze v nich nie je nic, co by ta mohlo
nejakym sposobom ohrozovat. To, ze ich script moze citat nie je
bezpecnostne riziko, ale standardna funkcnost.

Naopak je daleko dolezitejsie vzdy pouzivat safe_mode a zamedzit *zmene*
dolezitych premennych priamo z PHP, napriklad:

safe_mode_protected_env_vars    = "LD_LIBRARY_PATH"

Myslim, ze dopad tohoto nastavenia je viac nez zrejmy.

m.


-- 
I can be googled, therefore I am.

Varga Michal <varga at stonehenge.sk>
Stonehenge




More information about the Users-l mailing list