<p dir="ltr">Imho blacklistovat funkci je spatny pristup. Mas veci jako exec a buhvi co jeste - vzdycky muzes na neco zapomenout. Blacklist jako jedina seciruty featura nestaci, musis tam mit nejakou obecnou.</p>
<div class="gmail_quote">On Feb 23, 2016 5:59 PM, "Jirka Bourek" <<a href="mailto:vpsfree-list@keroub.cz">vpsfree-list@keroub.cz</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 02/23/2016 05:39 PM, Martin Miksanik wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Podle me tohle celkem dobre resi BaseDir v php.<br>
</blockquote>
<br>
Basedir je AFAIK něco, co vývojáři PHP považují za broken by design. Navíc když je to zapnuté, některé věci nefungují (tím neříkám, že se to nemá používat, jenom že to není zázračné řešení.)<br>
<br>
Navíc tazatel - jestli jsem dobře pochopil - řeší možnost, že code execution chyba v jeho aplikaci umožní někomu udělat chmod na kód/data webu a donahrát tam vlastní soubory. Proti tomu basedir neochrání.<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Jinak ja treba bezim s userama pres nginx + uwsgi(php, python, ruby), kde<br>
si muzes hrat i s vlastnim chrootem, usery tahat z DB atd.<br>
Muzes to taky cele zavrit do selinuxu, kde si prava nastavis.<br>
<br>
Jinak -> kdyz nginx miri sam pouze na staticke soubory - nema kam uhnout<br>
Nginx keca s php-fpm ktere serviruje jen php soubory (omezeni pres chroot,<br>
basedir). Pokud si nekdo sam chmodne soubory, je to jeho pruser (pripadne<br>
aplikace), ale i tak by se k nim nemel nikdo dostat.<br>
</blockquote>
<br>
Tolik teorie. Od praxe se liší především v praxi, zejména když jde o Wordpress a podobné. ;-) A kdo za to pak může už je jedno, stejně se to musí řešit.<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Muzes klidne funkci chmod v php zakazat :)<br>
</blockquote>
<br>
S tímhle přístupem (věřím, že zakázané funkce nejde znovu povolit) by to php mohl spouštět pod www-data ;-)<br>
<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
_______________________________________________<br>
Community-list mailing list<br>
<a href="mailto:Community-list@lists.vpsfree.cz" target="_blank">Community-list@lists.vpsfree.cz</a><br>
<a href="http://lists.vpsfree.cz/listinfo/community-list" rel="noreferrer" target="_blank">http://lists.vpsfree.cz/listinfo/community-list</a><br>
<br>
</blockquote>
_______________________________________________<br>
Community-list mailing list<br>
<a href="mailto:Community-list@lists.vpsfree.cz" target="_blank">Community-list@lists.vpsfree.cz</a><br>
<a href="http://lists.vpsfree.cz/listinfo/community-list" rel="noreferrer" target="_blank">http://lists.vpsfree.cz/listinfo/community-list</a><br>
</blockquote></div>