«Камчатский форум» logo

Здравствуйте, гость ( Вход | Регистрация )

6 страниц  « < 2 3 4 5 6 >   ( К первому непрочитанному сообщению )
Ответить · Открыть тему
> PHP 5
Maxx
30.04.2006, 9:31
Сообщение #61


Ветеран
******

Награды: 4
Группа: VIP
Сообщений: 1 251
Регистрация: 24.03.2006

Репутация: 16 [ - / + ]


http://blog.denyamsk.ru/2006/04/15/server-...-security-hole/

Памятка начинающим хостерам по затыканию дырок в PHP
Цитата
Сегодня один перловщик спросил меня, а нельзя ли в PHP через suEXEC что-нибудь да как-нибудь запустить. Штудирование мануалов показало, что нет, никак нельзя. И это хорошо, наверное… Одной дыркой меньше.
Зато в мануале по PHP кроме функций exec и system, про которые я давно знал и вроде бы их запретил у себя на сервере, я нашел еще функцию popen. Я насторожился, потому что точно помнил — этой функции я в настройках PHP не запрещал!
...
Цитата
Так вот. Список функций, которые ЖИЗНЕННО ВАЖНО НЕОБХОДИМО ОГРАНИЧИТЬ на виртуальном хостинге:
disable_functions = ”popen,dl,set_time_limit,passthru,system,exec,proc_open,shell_exec,proc_close”

Это минимум. Я не уверен, что это все. Я с 90% вероятностью могу увтерждать, что ни один системный вызов на сервере не пройдет. А вот какую-нибудь еще гадость наверняка можно сделать.

Полный текст статьи выложить не удалось - там куски пхп-кода, которые не пропускает секурити форума smile.gif

Сообщение отредактировал Maxx - 30.04.2006, 9:32
Офлайн · Карточка · Приват
^
Rownt
01.05.2006, 17:50
Сообщение #62


Учитель созерцания
*******

Награды: 7
Группа: ??????
Сообщений: 3 261
Регистрация: 04.04.2004

Репутация: 25 [ - / + ]


Цитата(Maxx @ 30.04.2006, 10:31)

http://blog.denyamsk.ru/2006/04/15/server-...-security-hole/
Памятка начинающим хостерам по затыканию дырок в PHP
...

Полагаю, что это все же, это проблема хостеров.
Я пока не собираюсь светить своим локальным серваком в инет. А на Камчатке, по ходу, PHP5 еще на известных мне хостингах не запущен.


--------------------
... сами не летаем и другим не дадим...:)

Камчатская студия дизайна Art Fashion Line
Офлайн · Карточка · Приват
^
Rownt
04.05.2006, 20:55
Сообщение #63


Учитель созерцания
*******

Награды: 7
Группа: ??????
Сообщений: 3 261
Регистрация: 04.04.2004

Репутация: 25 [ - / + ]


Сегодня книжку купил... "PHP 5 профессиональное программирование" (Гутманс, Баккен, Ретанс).
С первых же строк наткнулся на интересную фишку - SimpleXML. Если я правильно все понял, то на SAX и DOM можно наплевать с чистой совестью?...


--------------------
... сами не летаем и другим не дадим...:)

Камчатская студия дизайна Art Fashion Line
Офлайн · Карточка · Приват
^
Ilya V. Rudomilov
04.05.2006, 21:21
Сообщение #64


Путяра, пшёл вон!
*******

Награды: 9
Группа: ??????
Сообщений: 14 827
Регистрация: 30.03.2004

Репутация: 36 [ - / + ]


Цитата
С первых же строк наткнулся на интересную фишку - SimpleXML.

На несколько страниц раньше писали об этом. Очень удобная вещь. От DOM'a никуда не деться (это модель, по которой строится XML-документ), а вот значительно упростить написание скриптов - без сомнения.

Цитата
Сегодня книжку купил... "PHP 5 профессиональное программирование" (Гутманс, Баккен, Ретанс).

Покупал в магазине, в П-К?.. А то в Иркутске найти не могу в магазинах, видимо, придется заказывать в инете - я давно собираюсь ее купить (на books.ru - 390 руб.).


--------------------
Обязательно к изучению - мой блог о моей жизни в Чехии! И хватит спрашивать "Почему же Чехия?.." - все ответы описаны уже.
Офлайн · Карточка · Приват
^
Rownt
04.05.2006, 21:45
Сообщение #65


Учитель созерцания
*******

Награды: 7
Группа: ??????
Сообщений: 3 261
Регистрация: 04.04.2004

Репутация: 25 [ - / + ]


Цитата(Ilya V. Rudomilov @ 04.05.2006, 22:21)

Покупал в магазине, в П-К?.. А то в Иркутске найти не могу в магазинах, видимо, придется заказывать в инете - я давно собираюсь ее купить (на books.ru - 390 руб.).

На Болеро заказывал.... С доставкой 550 получилось...

Цитата(Ilya V. Rudomilov @ 04.05.2006, 22:21)

От DOM'a никуда не деться (это модель, по которой строится XML-документ), а вот значительно упростить написание скриптов - без сомнения.

Они на одной библиотеке сидят... можно преобразовывать туда-сюда...
Код
dom_import_simplexml() - simplexml_import_dom()


--------------------
... сами не летаем и другим не дадим...:)

Камчатская студия дизайна Art Fashion Line
Офлайн · Карточка · Приват
^
Rownt
05.05.2006, 20:18
Сообщение #66


Учитель созерцания
*******

Награды: 7
Группа: ??????
Сообщений: 3 261
Регистрация: 04.04.2004

Репутация: 25 [ - / + ]


Сегодня скачал обновленный дистрибутив PHP5 с Денвера.
После установки на сайтах перестали работать сылки вида http://mysite.ru/index.php?page=news...

Глянул в php.ini и удивился.
По умолчанию стоит - register_globals = Off
Комментарий извещает, что во избежания возникновения проблем с безопасностью.

Кто знает, как конфигурируется PHP на реальных хостингах?
Регистрация глобальных переменных тоже выключена?
Тогда какой выход? Кто решал проблему?


--------------------
... сами не летаем и другим не дадим...:)

Камчатская студия дизайна Art Fashion Line
Офлайн · Карточка · Приват
^
artyom_b
05.05.2006, 20:58
Сообщение #67



*******

Награды: 11
Группа: ?????????
Сообщений: 8 329
Регистрация: 21.04.2004

Репутация: 1 [ - / + ]


Цитата(Rownt @ 05.05.2006, 22:18)

Тогда какой выход? Кто решал проблему?


http://gus.biysk.ru/php/security.registerglobals.html
http://hosting.skif.net/docs/php/security.globals.html


--------------------
Офлайн · Карточка · Приват
^
Vetinary
05.05.2006, 21:29
Сообщение #68


Заслуженный участник
*****

Награды: 3
Группа: VIP
Сообщений: 818
Регистрация: 18.09.2004

Репутация: 20 [ - / + ]


Цитата
Регистрация глобальных переменных тоже выключена?
Тогда какой выход? Кто решал проблему?


на хостингах глобальные переменные включены обычно... но давно известно, что глобальными вещами пользоваться попросту НЕЛЬЗЯ в нормальных веб-приложениях... есть массивы $_GET, $_POST, $_SESSION, $_COOKIE - их должно хватать выше крыши... так что правь приложения...


--------------------
"Коммерчески успешно принародно подыхать,
Об камни разбивать фотогеничное лицо,
Просить по-человечески, заглядывать в глаза
Добрым прохожим..."
© Янка, "Продано"

Mac OS X Hints — секреты Mac OS X
Офлайн · Карточка · Приват
^
artyom_b
05.05.2006, 21:44
Сообщение #69



*******

Награды: 11
Группа: ?????????
Сообщений: 8 329
Регистрация: 21.04.2004

Репутация: 1 [ - / + ]


Цитата(Crizis @ 05.05.2006, 23:29)

$_GET, $_POST, $_SESSION, $_COOKIE

В б-ксе именно такой подход использован... (не реклама).


--------------------
Офлайн · Карточка · Приват
^
Ilya V. Rudomilov
05.05.2006, 23:28
Сообщение #70


Путяра, пшёл вон!
*******

Награды: 9
Группа: ??????
Сообщений: 14 827
Регистрация: 30.03.2004

Репутация: 36 [ - / + ]


Цитата
В б-ксе именно такой подход использован... (не реклама).

такой подход во всех нормальных скриптах. smile.gif В т.ч. и термите (это тоже не реклама smile.gif ).


--------------------
Обязательно к изучению - мой блог о моей жизни в Чехии! И хватит спрашивать "Почему же Чехия?.." - все ответы описаны уже.
Офлайн · Карточка · Приват
^
Kevin
06.05.2006, 1:56
Сообщение #71


*******
*******

Награды: 9
Группа: ????. ??????
Сообщений: 3 738
Регистрация: 02.04.2004

Репутация: 42 [ - / + ]


Массивы эти стоит использовать хотя бы потому, что это удобно smile.gif
Офлайн · Карточка · Приват
^
Rownt
06.05.2006, 7:16
Сообщение #72


Учитель созерцания
*******

Награды: 7
Группа: ??????
Сообщений: 3 261
Регистрация: 04.04.2004

Репутация: 25 [ - / + ]


Расхвастались, пиарщики....smile.gif
Суть, понял.
Реализацию представляю пока еще не очень четко...
Ладно, буду думать.


--------------------
... сами не летаем и другим не дадим...:)

Камчатская студия дизайна Art Fashion Line
Офлайн · Карточка · Приват
^
Kevin
06.05.2006, 13:27
Сообщение #73


*******
*******

Награды: 9
Группа: ????. ??????
Сообщений: 3 738
Регистрация: 02.04.2004

Репутация: 42 [ - / + ]


Rownt, технология проста: была переменная передаваемая
в адресной строке (site.ru/?page=1) в коде она выглядела
так: $page, а чтобы сделать ее в соответствии «правил»
нужно переписать так: $_GET['page'];
данные из формы так: $_POST['pole'];
Офлайн · Карточка · Приват
^
Rownt
06.05.2006, 19:26
Сообщение #74


Учитель созерцания
*******

Награды: 7
Группа: ??????
Сообщений: 3 261
Регистрация: 04.04.2004

Репутация: 25 [ - / + ]


Цитата(Kevin @ 06.05.2006, 14:27)

Rownt, технология проста: была переменная передаваемая
в адресной строке (site.ru/?page=1) в коде она выглядела
так: $page, а чтобы сделать ее в соответствии «правил»
нужно переписать так: $_GET['page'];
данные из формы так: $_POST['pole'];

Попробую, спасибо!


--------------------
... сами не летаем и другим не дадим...:)

Камчатская студия дизайна Art Fashion Line
Офлайн · Карточка · Приват
^
Kevin
06.05.2006, 19:54
Сообщение #75


*******
*******

Награды: 9
Группа: ????. ??????
Сообщений: 3 738
Регистрация: 02.04.2004

Репутация: 42 [ - / + ]


Rownt, Пожалуйста wink.gif

--

Кстати не согласен, что "register_globals = On"
может привести хоть к каким-то проблемам
с безопасностью у опытного разработчика,
неопытный же пропустит кучу дыр и с массивами.

Использование включенных глобалов просто
запутывает программу.

P.S.: Если уж используете массивы и хотите
полностью ограничится от регистр_глобалс,
то добавляйте в .htaccess
"php_flag register_globals Off"
иначе все эти «финты ушами» без толку.
Офлайн · Карточка · Приват
^
Rownt
08.05.2006, 10:46
Сообщение #76


Учитель созерцания
*******

Награды: 7
Группа: ??????
Сообщений: 3 261
Регистрация: 04.04.2004

Репутация: 25 [ - / + ]


Цитата(Rownt @ 04.05.2006, 21:55)

Сегодня книжку купил... "PHP 5 профессиональное программирование" (Гутманс, Баккен, Ретанс).


Мдаа... начинаю испытывать легкое разочарование.... Насколько толково была написана книга В.Гилмора по PHP4, насколько запутана эта.... Тяжело читается. Некоторые вещи вообще не воспринимаются, пока не сверишься с мануалом.

Сплошь и рядом выдернутые из контента фрагменты кодов без детализированного объяснения...
Про PDO вообще ничего не нашел...sad.gif
Придется, таки весь мануал PHP5 переводить... или уже есть русскоязычныная версия?


--------------------
... сами не летаем и другим не дадим...:)

Камчатская студия дизайна Art Fashion Line
Офлайн · Карточка · Приват
^
Kevin
08.05.2006, 11:13
Сообщение #77


*******
*******

Награды: 9
Группа: ????. ??????
Сообщений: 3 738
Регистрация: 02.04.2004

Репутация: 42 [ - / + ]


Rownt, задари книжку, а?smile.gif Шучу)

Судя по http://www.php.net/manual/ru/ref.pdo-pgsql.php
еще не перевели wink.gif
Офлайн · Карточка · Приват
^
Ilya V. Rudomilov
08.05.2006, 14:20
Сообщение #78


Путяра, пшёл вон!
*******

Награды: 9
Группа: ??????
Сообщений: 14 827
Регистрация: 30.03.2004

Репутация: 36 [ - / + ]


Цитата
Rownt, задари книжку, а? Шучу)

Я буду заказывать себе такую. Может и тебе заказать, а летом передам?..
Цитата
Тяжело читается.

Потому что это - ООП. А ООП в разы сложнее.


--------------------
Обязательно к изучению - мой блог о моей жизни в Чехии! И хватит спрашивать "Почему же Чехия?.." - все ответы описаны уже.
Офлайн · Карточка · Приват
^
Rownt
08.05.2006, 16:19
Сообщение #79


Учитель созерцания
*******

Награды: 7
Группа: ??????
Сообщений: 3 261
Регистрация: 04.04.2004

Репутация: 25 [ - / + ]


Цитата(Kevin @ 08.05.2006, 12:13)

Rownt, задари книжку, а?smile.gif Шучу)

Подарки только дамам...smile.gif

Цитата(Ilya V. Rudomilov @ 08.05.2006, 15:20)

Потому что это - ООП. А ООП в разы сложнее.

Суть не в сложности, а в методике подачи материала....
Она некудышна... Как справочник, еще куда ни шло, а как пособие по изучению...
Хочу посмотреть еще одну книжку Скляра и Трахтенберга "PHP Сборник рецептов"...


--------------------
... сами не летаем и другим не дадим...:)

Камчатская студия дизайна Art Fashion Line
Офлайн · Карточка · Приват
^
Kevin
08.05.2006, 16:43
Сообщение #80


*******
*******

Награды: 9
Группа: ????. ??????
Сообщений: 3 738
Регистрация: 02.04.2004

Репутация: 42 [ - / + ]


Илья, спасибо, не надо, летом буду в Москве, наверное
приобрету её там, хотя мануала достаточно.

Rownt, современная медицина, конечно, творит чудеса,
но на такие жертвы ради книги я не пойду wink.gif
Офлайн · Карточка · Приват
^

6 страниц  « < 2 3 4 5 6 >
Ответить · Открыть тему
2 чел. читают эту тему (гостей: 2, скрытых пользователей: 0)
Пользователей: 0

 



Код кнопки 88x31 Текстовая версия Русская версия Invision Power Board v2.1.7 © 2006  IPS, Inc.