[gull] Php safe mode, c'est valable, selon vous?
Marc SCHAEFER
schaefer at alphanet.ch
Mon Jul 4 15:41:02 CEST 2005
On Mon, Jul 04, 2005 at 10:21:25AM +0200, fischer at ludwin.net wrote:
> J'aimerais tout de même demander aux gourous sur cette liste: Safe Mode
> pour le PHP, c'est utile dans quel cas? Ca protège contre quoi?
Il faut se rappeler que mod_php (comme mod_perl d'ailleurs) sur Apache 1
tourne *tous* les scripts sous le même UID UNIX (www-data p.ex.).
`safe_mode' évite que des scripts PHP écrits par un client X puissent
aller lire les fichiers d'un client Y, les effacer, lancer des commandes
sur la machine, etc.
`safe_mode' est une configuration aussi indispensable que `register_globals
= off' si l'on veut un tout petit peu de sécurité avec PHP.
En ce qui concerne vos problèmes, ils sont causés par le fait que vos
scripts PHP sont mal écrits. On peut parfois corriger assez facilement
en ajoutant des autorisations d'inclusion dans la configuration PHP.
PS: en théorie PHP8 avec Apache2 tourne chaque instance de
l'interpréteur dans un contexte différent (PHP server) et donc on peut y
configurer un UID UNIX par client, ce qui correspond à peu près à ce
qu'on peut faire avec suEXEC + CGI aujourd'hui déjà (la performance en
moins).
More information about the gull
mailing list