Hallo! Am Wed, 3 Jul 2002 09:40:39 +0200 schrieb Hagen Kuehnel:
Jo, erst so ein Aufstand machen und dann nur zwei Seiten.
Ich habe hier die php.ini folgendermaßen verändert, safe_mode = On
Server neu gestartet?
ja
doc_root = /usr/local/httpd/htdocs/ftphome
; The directory under which PHP opens the script using /~usernamem used
user_dir = /usr/local/httpd/htdocs/ftphome/~
Ich muß gestehen, mir sagt diese Zeile nicht viel. Wie müßte die Zeile denn richtig lauten? user_dir = /usr/local/httpd/htdocs/ftphome ?
Humbug, das heisst IMHO, der php-Interpreter lehnt sein Wirken ausserhalb dieser Verzeichnisse ab. Wenn das mit Perl ginge, hätte man die Funktionalität der Shell ziemlich eingegrenzt.
Also würden außerhalb von ftphome gar keine PHP mehr ausgeführt?
aber ich komme bei Bedarf mit einem einfachen PHP-script aus dieser Umgebung heraus und kann bei entsprechender Anpassung beliebig Verzeichnisse lesen.
mit welchem?
<?php /* * Assume document root is /usr/local/websites/mydomain */ $location = '../../'; // Move up one directory //$location = '/etc'; $parent = dir($location); // List the contents of the current directory // i.e.: /usr/local/httpd/htdocs while($entry = $parent->read()) { echo $entry . '<br>'; } $parent->close(); ?> Das zeigt aber mal gewaltig Wirkung.
safe_mode_exec_dir = nach Deinen Wünschen gesetzt? (bei mir zum Beispiel /bin/safebin und da gibts links auf ausgewähle Programme, die als system-aufruf zur Verfügung stehen sollten (mysqldump etc.))
Ich habe mal auf safe_mode_exec_dir = /bin/safebin gesetzt, aber das breakout.php zeigt immer noch Wirkung.
Btw: weil ich mich so über die Ankündigung des Artikels geärgert habe: der einzige überlegenswerte Hinweis in diesem Artikel ist ein chroot des apache. (tolle "IT-consultans")
Ich hätte es begrüßt, wenn zu diesem Problem vernünftige Lösungen aufgezeichnet worden wären. Alles was ich bis jetzt versucht habe, blieb erfolglos. Und den Apache in eine chroot-Umgebung zu bringen dürfte nicht gnaz einfach sein mit einem LAMP. Für meine Begriffe macht das PHP erstmal unbrauchbar. -- Gruß Andreas Meyer http://home.wtal.de/MeineHomepage