apache 1.3 vs /cgi-bin/php
Hallo
Es kursieren im web viele Kniffs und Trick um php als cgi einsetzten zu
können und dessen Quelle oft auf dotdeb.org (ein php entwickler mit
debian roots) zurück zu führen ist und wo folgendes zur Aktivierung des
php-cgi's vorgeschlagen wird:
vhost oder httpd.conf:
-->--
AddHandler php-script .php4
Action php-script /cgi-bin/php4 # in: /usr/lib/cgi-bin/php
--<--
(ähnlich dem doc in .../share/doc/php4-cgi/README.Debian.gz)
und das cgi läuft.
Leider bin ich nun über etwas gestolpert was für mich ein
sicherheitsrisiko darstellt und das scheinbar noch niemanden so wirklich
bekannt oder klar ist:
-->--
exec('cat /etc/passwd');
--<--
funktioniert :-o
Wie stelle ich soetwas denn ab oder sperre die User im http-doc-root
oder vhost-doc-root ein ?
Bei manchen vhosts ist soetwas gewollt, in der Regel aber nicht!
Geht leider nicht:
"Action php-script /cgi-bin/php4 -c /path/to/php-ini/"
------------------------------------^^^^^^^^^^^^^^^^ wo in der ini dann
ein doc-root gesetzt werden könnte.
Eine globale (default) php.ini kann nur für einen vhost gelten :-(
(In sofern ist der entsprechende eintrag in /etc/php4/php.ini auch
korrekt. Aber wie wäre das zu lösen?
Interessant auch: Bei 1&1 kann man eine php.ini in das Verzeichniss des
auszuführenden scripts legen welche dann verwendet wird. Extrem gutes
feature! Wie machen die das? Wo könnte ich info finden?
Gruß Florian
Reply to: