Re: [OT] - Impedire a PHP di vedere file e directory al di fuori del DocumentRoot
Gianluca Gentile ha scritto:
> Salve,
> scusate l'off-topic.
> Ho la necessità di impedire a tutti gli script PHP di un determinato
> virtual host di "uscire" dalla DocumentRoot impostata e quindi non
> consentire loro di leggere file presenti in altre directory del file
> system.
>
storicamente la direttiva open_basedir dovrebbe essere quella indicata
per questa
esigenza, ma non sembra essere apprezzata globalmente come "modello di
sicurezza"
ad ogni modo puoi impostarla a livello di VirtualHost in questo modo
magari da usare in combinazione con php_value include_path
<VirtualHost www.example.com:80>
...
php_admin_value open_basedir "mio_path:altro_path"
...
</VirtualHost>
sempre che il tuo PHP non "giri" come cgi... che rende impossibile l'uso
dei comandi php_admin_value. O non utilizzi il modulo vhost_alias, in questo
caso risulta quasi impossibile passare le variabili necessarie a definire il
path dinamicamente
per cercare di incrementare la sicurezza esistono software di terze
parti, uno di
questi è suphp che fa in modo di eseguire tutti gli script php con l'UID
dell'utente
anziché apache, suphp in combinazione con un modello di permessi ad hoc
semplifica la vita in caso di hosting condiviso ed è una situazione di
sicurezza
accettabile, ovvero, dal mio punto di vista è un buon compromesso
vedi anche:
file:///usr/share/doc/php5-common/README.Debian.security
Alessandro
Reply to: