AbcLinuxu hledá autory!

Inzerujte na AbcPráce.cz od 950 Kč

Rozšířené hledání

napište » Zprávičky

inzerujte » Pracovní nabídky

Zed 1.0

dnes 17:44 | Nová verze

Textový editor Zed dospěl do verze 1.0. Představení v příspěvku na blogu.

Ladislav Hagara | Komentářů: 0

Anthropic sponzorem Blenderu

dnes 04:44 | Komunita

Vývojáři svobodného 3D softwaru Blender představili (𝕏, Mastodon, Bluesky) nejnovějšího firemního sponzora Blenderu. Je ním společnost Anthropic stojící za AI Claude a úroveň sponzoringu je Patron, tj. minimálně 240 tisíc eur ročně. Anthropic oznámil sponzorství v tiskové zprávě Claude for Creative Work.

Ladislav Hagara | Komentářů: 2

wayvnc 0.10.0 a neatvnc 1.0.0

dnes 03:55 | Nová verze

VNC server wayvnc pro Wayland kompozitory postavené nad wlroots - ne GNOME, KDE nebo Weston - byl vydán ve verzi 0.10.0. Vydána byla také verze 1.0.0 související knihovny neatvnc.

Ladislav Hagara | Komentářů: 0

Fedora Linux 44

včera 16:22 | Nová verze

Bylo oznámeno vydání Fedora Linuxu 44. Ve finální verzi vychází šest oficiálních edic: Fedora Workstation a Fedora KDE Plasma Desktop pro desktopové, Fedora Server pro serverové, Fedora IoT pro internet věcí, Fedora Cloud pro cloudové nasazení a Fedora CoreOS pro ty, kteří preferují neměnné systémy. Vedle nich jsou k dispozici také další atomické desktopy, spiny a laby. Podrobný přehled novinek v samostatných článcích na stránkách

… více »

Ladislav Hagara | Komentářů: 5

Novinky v GCC 16

včera 15:44 | Zajímavý článek

David Malcolm se na blogu vývojářů Red Hatu rozepsal o vybraných novinkách v GCC 16, jež by mělo vyjít v nejbližších dnech. Vypíchnuta jsou vylepšení čitelnosti chybových zpráv v C++, aktualizovaný SARIF (Static Analysis Results Interchange Format) výstup a nová volba experimental-html v HTML výstupu.

Ladislav Hagara | Komentářů: 0

Trinity Desktop Environment (TDE) R14.1.6

včera 15:11 | Nová verze

Byla vydána verze R14.1.6 desktopového prostředí Trinity Desktop Environment (TDE, fork KDE 3.5, Wikipedie). Přehled novinek v poznámkách k vydání, podrobnosti v seznamu změn.

JZD | Komentářů: 0

Budoucnost AI v Ubuntu

včera 12:55 | Komunita

Jon Seager z Canonicalu včera na Ubuntu Community Hubu popsal budoucnost AI v Ubuntu. Dnes upřesnil: AI nástroje budou k dispozici jako Snap balíčky, vždy je může uživatel odinstalovat. Ve výchozím nastavení budou všechny AI nástroje používat lokální AI modely.

Ladislav Hagara | Komentářů: 0

Nový ovladač Steam Controller jde do prodeje 4. května

27.4. 23:11 | IT novinky

Nový ovladač Steam Controller jde do prodeje 4. května. Cena je 99 eur.

Ladislav Hagara | Komentářů: 2

Jak vypadá gkh_clanker_t1000?

27.4. 14:22 | Komunita

Greg Kroah-Hartman začal používat AI asistenta pojmenovaného gkh_clanker_t1000. V commitech se objevuje "Assisted-by: gkh_clanker_t1000". Na social.kernel.org publikoval jeho fotografii. Jedná se o Framework Desktop s AMD Ryzen AI Max a lokální LLM.

Ladislav Hagara | Komentářů: 8

Ubuntu 26.10 bude Stonking Stingray

27.4. 04:44 | Komunita

Ubuntu 26.10 bude Stonking Stingray (úžasný rejnok).

Ladislav Hagara | Komentářů: 2

Centrum | Napsat | Starší

navrhněte » Anketa

Komentářů: 30, poslední 3.4. 20:20

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / PHP funkce nebezpečné pro webový server

Štítky: PHP, programování, server

Dotaz: PHP funkce nebezpečné pro webový server

14.12.2009 21:04 happymaster23 | skóre: 9
PHP funkce nebezpečné pro webový server

Přečteno: 552×

Odpovědět | Admin

Zdravím,

hledal jsem nějaký seznam funkcí, které můžou být nebezpečné pro samotný webový server, to znamená, že jich může zneužít sám uživatel (ten co může přímo nahrávat skripty) a nebo že pomocí nich může být napaden samotný webserver (nikoliv uživatelův prostor - to není můj problém). Našel jsem toho celkem hodně, co by se mělo zakázat, nicméně u spousty (alespoň pokud chápu správně jejich popis) se jedná pouze o možnost ohrožení uživatelských dat, nikoliv webserveru a nebo ostatních uživatelů.

Z tohoto seznamu:

apache_child_terminate, apache_setenv, define_syslog_variables, escapeshellarg, escapeshellcmd, eval, exec, fp, fput, ftp_connect, ftp_exec, ftp_get, ftp_login, ftp_nb_fput, ftp_put, ftp_raw, ftp_rawlist, highlight_file, ini_alter, ini_get_all, ini_restore, inject_code, mysql_pconnect, openlog, passthru, php_uname, phpAds_remoteInfo, phpAds_XmlRpc, phpAds_xmlrpcDecode, phpAds_xmlrpcEncode, popen, posix_getpwuid, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, posix_setuid, posix_uname, proc_close, proc_get_status, proc_nice, proc_open, proc_terminate, shell_exec, syslog, system, xmlrpc_entity_decode

Jsem vybral jako pro server nebezpečné

exec, escapeshellarg, escapeshellcmd, passthru, proc_close, proc_get_status, proc_nice, proc_open, proc_terminate, shell_exec, system, pcntl_exec, define_syslog_variables, ini_set, open_log, posix_getpwuid, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, posix_setuid, posix_uname, ini_alter

a chci se vás zeptat, jestli by jste do tohoto seznamu ještě něco přidali a nebo naopak ubrali.

Díky moc za odpovědi

Nástroje: Začni sledovat (0) ?

Odpovědi

14.12.2009 23:26 AraxoN | skóre: 47 | blog: slon_v_porcelane | Košice
Rozbalit Rozbalit vše Re: PHP funkce nebezpečné pro webový server

Mám poznámku k týmto dvom: escapeshellarg() a escapeshellcmd() - tieto funkcie len jeden string prevedú na iný podľa určitých pravidiel. Nie sú o nič nebezpečnejšie než addslashes(), či strip_tags().

15.12.2009 01:30 happymaster23 | skóre: 9
Rozbalit Rozbalit vše Re: PHP funkce nebezpečné pro webový server

Díky za odpověď, máš pravdu, tohle není nebezpečné, já jsem to tam automaticky zařadil pro to, že je to na tomhle seznamu.

Takže je tam v podstatě všechno a nic jsem neopomenul? Vybíral jsem to jenom tak od oka, tak mi to připadá divný, že bych se hned tak na poprve trefil :-D

15.12.2009 09:19 AraxoN | skóre: 47 | blog: slon_v_porcelane | Košice
Rozbalit Rozbalit vše Re: PHP funkce nebezpečné pro webový server

Neviem či to je všetko - funkcií je v PHP príliš veľa na to aby som poznal všetky. :-(

Ale keď používaš open_basedir, tak polovicu problémov si už vyriešil.

15.12.2009 15:16 happymaster23 | skóre: 9
Rozbalit Rozbalit vše Re: PHP funkce nebezpečné pro webový server

Díky za odpověď,

nicméně pokud se mrkneš na ten seznam (našel jsem ho mimochodem tady), tak přímo z něj - chybí mi v tom výběru fcí nebezpečných pro server něco a nebo ne?

14.12.2009 23:45 NN
Rozbalit Rozbalit vše Re: PHP funkce nebezpečné pro webový server

suhosin

15.12.2009 01:32 happymaster23 | skóre: 9
Rozbalit Rozbalit vše Re: PHP funkce nebezpečné pro webový server

Díky za odpověď,

na to jsem se už díval, nicméně to potřebuju řádně otestovat, než to nasadím na produkční stroj a na to zatím nemám moc času, takže jsem zatím zvolil kombinaci disable_functions a pro každý virtualhost open_basedir, který je roven DocumentRoot...

15.12.2009 08:13 faha
Rozbalit Rozbalit vše Re: PHP funkce nebezpečné pro webový server

Presne a jeste bych pridal grsecutiry patch do jadra.

15.12.2009 13:20 Dalibor Smolík | skóre: 54 | blog: Postrehy_ze_zivota | 50°5'31.93"N,14°19'35.51"E
Rozbalit Rozbalit vše Re: PHP funkce nebezpečné pro webový server

Nebezpečné funkce ... nevím. Stačí mít nastaveno register_globals = On :-)

Rozdíly v řeči a ve zvyklostech neznamenají vůbec nic, budeme-li mít stejné cíle a otevřená srdce.

15.12.2009 14:23 AraxoN | skóre: 47 | blog: slon_v_porcelane | Košice
Rozbalit Rozbalit vše Re: PHP funkce nebezpečné pro webový server

register_globals je síce neduh, ale samo o sebe to ešte nie je nebezpečná funkcia. Ak je nebezpečná, tak pre neznalého užívateľa a jeho dáta, nie pre server samotný. Najmenej 7 rokov je navyše v default konfigurácii táto funkcia vypnutá, takže týka sa len ľudí, ktorí majú viac než 7 rokov staré PHP, alebo si to zapli sami.

15.12.2009 21:55 testname :)
Rozbalit Rozbalit vše Re: PHP funkce nebezpečné pro webový server

Co este okrem openbasedir odporucate?

Založit nové vlákno • Nahoru

Tiskni Sdílej: