Apache2 + PHP5 ENV

Martin Balint konferencie at balint.sk
Fri Mar 4 12:33:54 CET 2005


Michal Varga wrote:

>On Fri, 2005-03-04 at 01:50 +0100, Martin Balint wrote:
>  
>
>>No vseobecne asi vsetko, niesom na to velmi zvyknuty, ze je mozne si 
>>systemove premenne precitat na webe...
>>Mozno to je len nejaka paranoia bez praktickeho dovodu, dost ma to ale 
>>zaskocilo, ked som to tam uvidel.
>>
>>    
>>
>A to este asi nevies, ze tie premenne php umoznuje aj menit :)
>http://cz.php.net/manual/en/function.putenv.php
>
>Seriozne - su tam bezne premenne, ktore ti bezne nabehnu po spusteni
>shellu a php (v kontexte apache) nema byt preco vynimkou. Tym, ze tie
>premenne odstranis v praxi vobec nic nedosiahnes a naopak sa ti moze
>stat, ze ti nejaka cast php prestane bezat (aj ked aktualne mi ziadne
>zavistosti na konkretnych envvars nenapadaju). Samozrejme, pokial si tie
>premenne prestudujes, zistis, ze v nich nie je nic, co by ta mohlo
>nejakym sposobom ohrozovat. To, ze ich script moze citat nie je
>bezpecnostne riziko, ale standardna funkcnost.
>
>Naopak je daleko dolezitejsie vzdy pouzivat safe_mode a zamedzit *zmene*
>dolezitych premennych priamo z PHP, napriklad:
>
>safe_mode_protected_env_vars    = "LD_LIBRARY_PATH"
>
>Myslim, ze dopad tohoto nastavenia je viac nez zrejmy.
>
>m.
>
>
>  
>
Urcite nemam zaujem nejak blokovat phpinfo, pretoze sa v nom clovek moze 
toho dost dozvediet.
Ako som uz spomenul, tieto hodnoty prostredia som v phpinfo nikdy 
nevidel (pouzival som hlavne Debian a Gentoo), preto ma to zaskocilo, a 
radsej som sa opytal, zaujimalo ma to. Co konkretne ma zaskocilo, tazko 
povedat, proste skoro cela sekcia environment.

Dakujem ale vsetkym za objasnenie, ze tento vypis je v poriadku. O 
safe_mode samozrejme viem, safe_mode_protected_env_vars som doteraz 
nikdy nepouzil, vidim ale, ze by som to mal nastudovat (ako kopu dalsich 
veci).

Mimochodom, neviete niekto, ako je to s Cyrus extension 
(http://cz.php.net/manual/cs/ref.cyrus.php)? V 
/usr/ports/lang/php5-extensions som ju nenasiel, je vobec pouzitelna?

M.



More information about the Users-l mailing list