php absichern

[fisch]

hab jetzt mal folgendes gemacht:

disable_functions = exec,system,shell_exec,passthru,proc_open
safe_mode_exec_dir /home/www/empty
open_basedir /home/www/web1
chmod 660 für upload-verzeichnisse

Kann ich mich damit schon halbwegs sicher fühlen obwohl ich keinen safe_mode aktiviert hab?

[arty]

Hi,

wenn du nicht alleine auf dem Server bist, nimm PHP als CGI anstatt von mod_php. Interessantes zu dem Thema findest du auch hier: http://www.dclp-faq.de/q/q-konfiguration-safe-mode.html

bye
arty

[kase]

disable Functions bringt nix, das ist ein Bug in PHP, die funktionieren trotzdem alle. Am besten, da machst den Safe Mode an.

[darkspirit]

Register_Globals sollte man möglichst auch auf Off stellen.. kann zu einer Sicherheitslücke werden, wenn Scripte mies gecodet sind..

[arty]

Register_Globals sollte man möglichst auch auf Off stellen.. kann zu einer Sicherheitslücke werden, wenn Scripte mies gecodet sind..

warum denn das? Wenn Scripte schlecht geschrieben werden und register_globals = off ist, funktionieren sie nicht mehr.

bye
arty

[darkspirit]

Eben, wenn sie laufen würden, können sie eine Sicherheitslücke sein.. ;)
Aber ok, der Tipp ist nicht optimal gewesen, wollte nur sagen, dass das zum Absichern von PHP eigentlich dazu gehört..

[checksumde]

Ich hab jetzt folgendes in die php.ini eingetragen,
kann mir jmd sagen ob dies so richtig ist und ob ich evtl
etwas vergessen habe?

Code: Select all

safe_mode = on
safe_mode_gid = on
safe_mode_include_dir =
safe_mode_exec_dir = /var/www/emtpy
open_basedir = /var/www/
disable_functions = system,exec,passthru,popen,escapeshellcmd,shell_exec

mfg checksum