Apache2 + PHP5 ENV
Martin Balint
konferencie at balint.sk
Fri Mar 4 12:33:54 CET 2005
Michal Varga wrote:
>On Fri, 2005-03-04 at 01:50 +0100, Martin Balint wrote:
>
>
>>No vseobecne asi vsetko, niesom na to velmi zvyknuty, ze je mozne si
>>systemove premenne precitat na webe...
>>Mozno to je len nejaka paranoia bez praktickeho dovodu, dost ma to ale
>>zaskocilo, ked som to tam uvidel.
>>
>>
>>
>A to este asi nevies, ze tie premenne php umoznuje aj menit :)
>http://cz.php.net/manual/en/function.putenv.php
>
>Seriozne - su tam bezne premenne, ktore ti bezne nabehnu po spusteni
>shellu a php (v kontexte apache) nema byt preco vynimkou. Tym, ze tie
>premenne odstranis v praxi vobec nic nedosiahnes a naopak sa ti moze
>stat, ze ti nejaka cast php prestane bezat (aj ked aktualne mi ziadne
>zavistosti na konkretnych envvars nenapadaju). Samozrejme, pokial si tie
>premenne prestudujes, zistis, ze v nich nie je nic, co by ta mohlo
>nejakym sposobom ohrozovat. To, ze ich script moze citat nie je
>bezpecnostne riziko, ale standardna funkcnost.
>
>Naopak je daleko dolezitejsie vzdy pouzivat safe_mode a zamedzit *zmene*
>dolezitych premennych priamo z PHP, napriklad:
>
>safe_mode_protected_env_vars = "LD_LIBRARY_PATH"
>
>Myslim, ze dopad tohoto nastavenia je viac nez zrejmy.
>
>m.
>
>
>
>
Urcite nemam zaujem nejak blokovat phpinfo, pretoze sa v nom clovek moze
toho dost dozvediet.
Ako som uz spomenul, tieto hodnoty prostredia som v phpinfo nikdy
nevidel (pouzival som hlavne Debian a Gentoo), preto ma to zaskocilo, a
radsej som sa opytal, zaujimalo ma to. Co konkretne ma zaskocilo, tazko
povedat, proste skoro cela sekcia environment.
Dakujem ale vsetkym za objasnenie, ze tento vypis je v poriadku. O
safe_mode samozrejme viem, safe_mode_protected_env_vars som doteraz
nikdy nepouzil, vidim ale, ze by som to mal nastudovat (ako kopu dalsich
veci).
Mimochodom, neviete niekto, ako je to s Cyrus extension
(http://cz.php.net/manual/cs/ref.cyrus.php)? V
/usr/ports/lang/php5-extensions som ju nenasiel, je vobec pouzitelna?
M.
More information about the Users-l
mailing list