Delphi-PRAXiS
Seite 1 von 3  1 23      

Delphi-PRAXiS (https://www.delphipraxis.net/forum.php)
-   Programmieren allgemein (https://www.delphipraxis.net/40-programmieren-allgemein/)
-   -   [PHP] Safemode (https://www.delphipraxis.net/31004-%5Bphp%5D-safemode.html)

sCrAPt 2. Okt 2004 14:46


[PHP] Safemode
 
HiHo
Ich kämpfe gerade wieder mit dem Savemode von PHP rum :twisted: Warum gibts den überhaupt und was macht der eigentlich ausser mir Alles verweigern?

//@himitsu: Nein, ich werde ihn nicht deaktivieren lassen ;)

http://og4all.de/s.jpg, sCrAPt

himitsu 2. Okt 2004 14:53

Re: [PHP] Savemode
 
Im Grunde genommen schützt der den Provider vor bescheuerten Usern, die es darauf anlegen den Server lamzulegen (egal ob absichtlich, oder aus Dummheit)

PS: frag mal deinen Provider, ob er diesen eventuell für dich deaktiviert ... bei mir hatte es es auch gemacht ... er ist ganz nett ;)

Oder du sagst mal was Probleme macht - für einiges gibt es 'ne Art Umgehung, damit es dennoch geht.

fiasko 2. Okt 2004 14:55

Re: [PHP] Savemode
 
Hallo,

wenn PHP als Modul im Kontext des WWW-Server-Nutzers läuft und nicht nur vertrauenswürdige Personen PHP-Skript reinstellen können ist das ein imenses Sicherheitsproblem (Server killen, HTTPS Zert. auslesen, etc....). Der Savemod ist theoretisch gedacht damit man Funktionen einschränken kann mit denen böse Leute eben sowas machen könnten bzw. Funktionen auf bestimmte Verzeichnisse beschränken.

Ich persönlich halte davon nix - schließlich erlaubt man erstmal ALLES und verbietet dann nur ein paar Funktionen... und vielleicht vergißt man ja ein paar.

Wenn PHP-Skripte als CGI's laufen hat man die Probleme nicht, ist zwar Ressourcen-Aufwendiger aber dank suexec können die dann im Kontext des Benutzers laufen (und der muß sich nicht mit sinnlosen Einschränkungen rumschlagne.

sCrAPt 2. Okt 2004 19:34

Re: [PHP] Safemode
 
Und wie genau macht er das? Ich z.B. habe mit mkdir() ein Verzechniss (mit Chmodrechten 777) erstellt und möchte in dem Ordner eine Datei via touch() erstellen. Jetzt kommt aber der Safemode und sagt "du bist unartig :warn: ".
Gibt der mkdir() dem Ordner ein "Safemode-Flag" oder wie stellt er fesst dass ich den Ordner via PHP erstellt habe?

http://og4all.de/s.jpg, sCrAPt

Meflin 2. Okt 2004 20:19

Re: [PHP] Safemode
 
Zitat:

Zitat von sCrAPt
Und wie genau macht er das? Ich z.B. habe mit mkdir() ein Verzechniss (mit Chmodrechten 777) erstellt und möchte in dem Ordner eine Datei via touch() erstellen. Jetzt kommt aber der Safemode und sagt "du bist unartig :warn: ".
Gibt der mkdir() dem Ordner ein "Safemode-Flag" oder wie stellt er fesst dass ich den Ordner via PHP erstellt habe?

http://og4all.de/s.jpg, sCrAPt

ich glaube eher dass das datei erstellen prinzipiell in jedem ordner vom safe mod geblockt wird. ich persönlich bin froh dass der bei meinem provider aus ist...

tommie-lie 2. Okt 2004 20:26

Re: [PHP] Safemode
 
Zitat:

Zitat von sCrAPt
Und wie genau macht er das?

Durhc überprüfen der UIDs (http://www.phpbuilder.com/manual2/ma....safe-mode.php).

Zitat:

Ich z.B. habe mit mkdir() ein Verzechniss (mit Chmodrechten 777) erstellt und möchte in dem Ordner eine Datei via touch() erstellen. Jetzt kommt aber der Safemode und sagt "du bist unartig :warn: ".
Wenn mkdir() vom gleichen Script ausgeführt wurde und mkdir() fehlerfrei durchgelaufen ist, sollte ein touch() auch keine Probleme machen. Genauso wenig wenn wenn du als User das Verzeichnis erstellt hast und auch das Script, und der Ordner ebenfalls. Daß ein touch() auf Dateien, die dir gehören, in einem Verzeichnis, das dir gehört, fehlschlägt, sollte also eigentlich nicht vorkommen...

Meflin 2. Okt 2004 20:28

Re: [PHP] Safemode
 
Zitat:

Zitat von tommie-lie
Zitat:

Zitat von sCrAPt
Und wie genau macht er das?

Durhc überprüfen der UIDs (http://www.phpbuilder.com/manual2/ma....safe-mode.php).

Zitat:

Ich z.B. habe mit mkdir() ein Verzechniss (mit Chmodrechten 777) erstellt und möchte in dem Ordner eine Datei via touch() erstellen. Jetzt kommt aber der Safemode und sagt "du bist unartig :warn: ".
Wenn mkdir() vom gleichen Script ausgeführt wurde und mkdir() fehlerfrei durchgelaufen ist, sollte ein touch() auch keine Probleme machen. Genauso wenig wenn wenn du als User das Verzeichnis erstellt hast und auch das Script, und der Ordner ebenfalls. Daß ein touch() auf Dateien, die dir gehören, in einem Verzeichnis, das dir gehört, fehlschlägt, sollte also eigentlich nicht vorkommen...

ich würde dann mal nachfragen ob der touch befehl vielleicht gesperrt ist!? desweiteren ist es eigentlich bei aktiviertem safe mode state of the art dass man nix mit chmod 777 erstellen kann - bist du dir sicher dass das der fall ist? ich bekam nämlich keine fehlermeldung, musste aber im ftp modus feststellen, dass das verzeichnis nicht chmod 777 hatte sondern nur die standardrechte!

tommie-lie 2. Okt 2004 20:35

Re: [PHP] Safemode
 
Zitat:

Zitat von Meflin
desweiteren ist es eigentlich bei aktiviertem safe mode state of the art dass man nix mit chmod 777 erstellen kann

Echt? Davon ist mir nichts bekannt und dokumentiert ist es AFAICS auch nicht.

Zitat:

Zitat von Meflin
bist du dir sicher dass das der fall ist?

Ich? Nö :mrgreen:

Meflin 2. Okt 2004 20:38

Re: [PHP] Safemode
 
Zitat:

Zitat von tommie-lie
Zitat:

Zitat von Meflin
desweiteren ist es eigentlich bei aktiviertem safe mode state of the art dass man nix mit chmod 777 erstellen kann

Echt? Davon ist mir nichts bekannt und dokumentiert ist es AFAICS auch nicht.

Zitat:

Zitat von Meflin
bist du dir sicher dass das der fall ist?

Ich? Nö :mrgreen:

nunja dich meinte ich auch eher weniger ;-)
aber bei wirklich allen systemen mit safe mode - und ich kenn doch ein paar - war das mit dem chmod so! einfach mal überprüfen...

sCrAPt 2. Okt 2004 20:53

Re: [PHP] Safemode
 
Es ist möglich die Zugriffrechte auf 777 zu stellen ;)
Code:
mkdir($dasverzeichniss, 0777); // Rechte sind dann aber 755 :?
chmod($dasverzeichniss, 0777); // Jetzt auf 777 :D
Aber touch() funktioniert trozdem nicht innerhalb des Verzeichnisses :(

http://og4all.de/s.jpg, sCrAPt


Alle Zeitangaben in WEZ +1. Es ist jetzt 03:56 Uhr.
Seite 1 von 3  1 23      

Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz