Přihlášení | Registrace

napište » Zprávičky

včera 23:55 | Komunita

Ubuntu 26.04 LTS bude (𝕏) Resolute Raccoon (rezolutní mýval).

včera 21:00 | Nová verze

Netwide Assembler (NASM) byl vydán v nové major verzi 3.00. Přehled novinek v poznámkách k vydání v aktualizované dokumentaci.

Ladislav Hagara | Komentářů: 0

Frugalware Linux ke konci roku 2025 oficiálně končí

včera 20:11 | Komunita

Linuxová distribuce Frugalware (Wikipedie) ke konci roku 2025 oficiálně končí.

Ladislav Hagara | Komentářů: 0

GIMP 3.0.6

včera 17:22 | Nová verze

Byla vydána nová verze 3.0.6 svobodné aplikace pro úpravu a vytváření rastrové grafiky GIMP (GNU Image Manipulation Program). Přehled novinek v oznámení o vydání a v souboru NEWS na GitLabu. Nový GIMP bude brzy k dispozici také na Flathubu.

Ladislav Hagara | Komentářů: 0

AMD uzavřela smlouvu o dodávkách čipů pro OpenAI

včera 16:11 | IT novinky

Americký výrobce čipů AMD uzavřel s americkou společností OpenAI smlouvu na několikaleté dodávky vyspělých mikročipů pro umělou inteligenci (AI). Součástí dohody je i předkupní právo OpenAI na přibližně desetiprocentní podíl v AMD.

Ladislav Hagara | Komentářů: 1

OpenSSH 10.1

včera 12:22 | Nová verze

Byla vydána nová verze 10.1 sady aplikací pro SSH komunikaci OpenSSH. Uživatel je nově varován, když se nepoužívá postkvantovou výměnu klíčů.

Ladislav Hagara | Komentářů: 0

Videozáznamy z LinuxDays 2025

5.10. 20:00 | Komunita

Byly zpracovány a na YouTube zveřejněny videozáznamy z konference LinuxDays 2025.

Ladislav Hagara | Komentářů: 0

Turris Omnia NG

4.10. 15:22 | IT novinky

Na konferenci LinuxDays 2025 byl oficiálně představen nový router Turris Omnia NG.

Ladislav Hagara | Komentářů: 35

Přímý přenos z LinuxDays 2025

4.10. 05:22 | Komunita

Přímý přenos (YouTube) z konference LinuxDays 2025, jež probíhá tento víkend v Praze v prostorách FIT ČVUT. Na programu je spousta zajímavých přednášek.

Ladislav Hagara | Komentářů: 17

Soud zrušil rekordní pokutu pro Avast

3.10. 22:44 | IT novinky

V únoru loňského roku Úřad pro ochranu osobních údajů pravomocně uložil společnosti Avast Software pokutu 351 mil. Kč za porušení GDPR. Městský soud v Praze tuto pokutu na úterním jednání zrušil. Potvrdil ale, že společnost Avast porušila zákon, když skrze svůj zdarma dostupný antivirový program sledovala, které weby jeho uživatelé navštěvují, a tyto informace předávala dceřiné společnosti Jumpshot. Úřad pro ochranu osobních údajů

… více »

Ladislav Hagara | Komentářů: 11

Centrum | Napsat | Starší

navrhněte » Anketa

Jaké řešení používáte k vývoji / práci?

Github (39%)

Gitlab (45%)

Atlassian (15%)

Bitbucket (17%)

Gitea (21%)

Mercurial (15%)

jen git (17%)

jen svn (16%)

Jiné (uvedu v diskusi) (15%)

Celkem 183 hlasů

Komentářů: 12, poslední 4.10. 20:35

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Poradna / Linuxová poradna / PHP funkce nebezpečné pro webový server

Štítky: PHP, programování, server

Dotaz: PHP funkce nebezpečné pro webový server

14.12.2009 21:04 happymaster23 | skóre: 9
PHP funkce nebezpečné pro webový server

Přečteno: 535×

Odpovědět | Admin

Zdravím,

hledal jsem nějaký seznam funkcí, které můžou být nebezpečné pro samotný webový server, to znamená, že jich může zneužít sám uživatel (ten co může přímo nahrávat skripty) a nebo že pomocí nich může být napaden samotný webserver (nikoliv uživatelův prostor - to není můj problém). Našel jsem toho celkem hodně, co by se mělo zakázat, nicméně u spousty (alespoň pokud chápu správně jejich popis) se jedná pouze o možnost ohrožení uživatelských dat, nikoliv webserveru a nebo ostatních uživatelů.

Z tohoto seznamu:

apache_child_terminate, apache_setenv, define_syslog_variables, escapeshellarg, escapeshellcmd, eval, exec, fp, fput, ftp_connect, ftp_exec, ftp_get, ftp_login, ftp_nb_fput, ftp_put, ftp_raw, ftp_rawlist, highlight_file, ini_alter, ini_get_all, ini_restore, inject_code, mysql_pconnect, openlog, passthru, php_uname, phpAds_remoteInfo, phpAds_XmlRpc, phpAds_xmlrpcDecode, phpAds_xmlrpcEncode, popen, posix_getpwuid, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, posix_setuid, posix_uname, proc_close, proc_get_status, proc_nice, proc_open, proc_terminate, shell_exec, syslog, system, xmlrpc_entity_decode

Jsem vybral jako pro server nebezpečné

exec, escapeshellarg, escapeshellcmd, passthru, proc_close, proc_get_status, proc_nice, proc_open, proc_terminate, shell_exec, system, pcntl_exec, define_syslog_variables, ini_set, open_log, posix_getpwuid, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, posix_setuid, posix_uname, ini_alter

a chci se vás zeptat, jestli by jste do tohoto seznamu ještě něco přidali a nebo naopak ubrali.

Díky moc za odpovědi

Nástroje: Začni sledovat (0) ?

Odpovědi

14.12.2009 23:26 AraxoN | skóre: 47 | blog: slon_v_porcelane | Košice
Rozbalit Rozbalit vše Re: PHP funkce nebezpečné pro webový server

Mám poznámku k týmto dvom: escapeshellarg() a escapeshellcmd() - tieto funkcie len jeden string prevedú na iný podľa určitých pravidiel. Nie sú o nič nebezpečnejšie než addslashes(), či strip_tags().

15.12.2009 01:30 happymaster23 | skóre: 9
Rozbalit Rozbalit vše Re: PHP funkce nebezpečné pro webový server

Díky za odpověď, máš pravdu, tohle není nebezpečné, já jsem to tam automaticky zařadil pro to, že je to na tomhle seznamu.

Takže je tam v podstatě všechno a nic jsem neopomenul? Vybíral jsem to jenom tak od oka, tak mi to připadá divný, že bych se hned tak na poprve trefil :-D

15.12.2009 09:19 AraxoN | skóre: 47 | blog: slon_v_porcelane | Košice
Rozbalit Rozbalit vše Re: PHP funkce nebezpečné pro webový server

Neviem či to je všetko - funkcií je v PHP príliš veľa na to aby som poznal všetky. :-(

Ale keď používaš open_basedir, tak polovicu problémov si už vyriešil.

15.12.2009 15:16 happymaster23 | skóre: 9
Rozbalit Rozbalit vše Re: PHP funkce nebezpečné pro webový server

Díky za odpověď,

nicméně pokud se mrkneš na ten seznam (našel jsem ho mimochodem tady), tak přímo z něj - chybí mi v tom výběru fcí nebezpečných pro server něco a nebo ne?

14.12.2009 23:45 NN
Rozbalit Rozbalit vše Re: PHP funkce nebezpečné pro webový server

suhosin

15.12.2009 01:32 happymaster23 | skóre: 9
Rozbalit Rozbalit vše Re: PHP funkce nebezpečné pro webový server

Díky za odpověď,

na to jsem se už díval, nicméně to potřebuju řádně otestovat, než to nasadím na produkční stroj a na to zatím nemám moc času, takže jsem zatím zvolil kombinaci disable_functions a pro každý virtualhost open_basedir, který je roven DocumentRoot...

15.12.2009 08:13 faha
Rozbalit Rozbalit vše Re: PHP funkce nebezpečné pro webový server

Presne a jeste bych pridal grsecutiry patch do jadra.

15.12.2009 13:20 Dalibor Smolík | skóre: 54 | blog: Postrehy_ze_zivota | 50°5'31.93"N,14°19'35.51"E
Rozbalit Rozbalit vše Re: PHP funkce nebezpečné pro webový server

Nebezpečné funkce ... nevím. Stačí mít nastaveno register_globals = On :-)

Rozdíly v řeči a ve zvyklostech neznamenají vůbec nic, budeme-li mít stejné cíle a otevřená srdce.

15.12.2009 14:23 AraxoN | skóre: 47 | blog: slon_v_porcelane | Košice
Rozbalit Rozbalit vše Re: PHP funkce nebezpečné pro webový server

register_globals je síce neduh, ale samo o sebe to ešte nie je nebezpečná funkcia. Ak je nebezpečná, tak pre neznalého užívateľa a jeho dáta, nie pre server samotný. Najmenej 7 rokov je navyše v default konfigurácii táto funkcia vypnutá, takže týka sa len ľudí, ktorí majú viac než 7 rokov staré PHP, alebo si to zapli sami.

15.12.2009 21:55 testname :)
Rozbalit Rozbalit vše Re: PHP funkce nebezpečné pro webový server

Co este okrem openbasedir odporucate?

Založit nové vlákno • Nahoru

Tiskni Sdílej:

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje