Page 1 of 1
php absichern
Posted: 2003-07-20 11:01
by fisch
hab jetzt mal folgendes gemacht:
disable_functions = exec,system,shell_exec,passthru,proc_open
safe_mode_exec_dir /home/www/empty
open_basedir /home/www/web1
chmod 660 für upload-verzeichnisse
Kann ich mich damit schon halbwegs sicher fühlen obwohl ich keinen safe_mode aktiviert hab?
Re: php absichern
Posted: 2003-07-20 11:31
by arty
Hi,
wenn du nicht alleine auf dem Server bist, nimm PHP als CGI anstatt von mod_php. Interessantes zu dem Thema findest du auch hier:
http://www.dclp-faq.de/q/q-konfiguration-safe-mode.html
bye
arty
Re: php absichern
Posted: 2003-07-22 14:28
by kase
disable Functions bringt nix, das ist ein Bug in PHP, die funktionieren trotzdem alle. Am besten, da machst den Safe Mode an.
Re: php absichern
Posted: 2003-07-22 22:50
by darkspirit
Register_Globals sollte man möglichst auch auf Off stellen.. kann zu einer Sicherheitslücke werden, wenn Scripte mies gecodet sind..
Re: php absichern
Posted: 2003-07-23 08:12
by arty
DarkSpirit wrote:Register_Globals sollte man möglichst auch auf Off stellen.. kann zu einer Sicherheitslücke werden, wenn Scripte mies gecodet sind..
warum denn das? Wenn Scripte schlecht geschrieben werden und register_globals = off ist, funktionieren sie nicht mehr.
bye
arty
Re: php absichern
Posted: 2003-07-23 11:50
by darkspirit
Eben, wenn sie laufen würden, können sie eine Sicherheitslücke sein.. ;)
Aber ok, der Tipp ist nicht optimal gewesen, wollte nur sagen, dass das zum Absichern von PHP eigentlich dazu gehört..
Re: php absichern
Posted: 2003-07-26 10:29
by checksumde
Ich hab jetzt folgendes in die php.ini eingetragen,
kann mir jmd sagen ob dies so richtig ist und ob ich evtl
etwas vergessen habe?
Code: Select all
safe_mode = on
safe_mode_gid = on
safe_mode_include_dir =
safe_mode_exec_dir = /var/www/emtpy
open_basedir = /var/www/
disable_functions = system,exec,passthru,popen,escapeshellcmd,shell_exec
mfg checksum