[FUG-BR] [OFF TOPIC]php.ini - bloqueio da função dir()

Marcello Costa unixmafia em yahoo.com.br
Quinta Janeiro 25 13:55:24 BRST 2007 

Em Qui, 2007-01-25 às 12:22 -0300, Silmar Oliveira escreveu:
> Olá, lista
> 
> Configurei o php.ini mais ou menos como ele veio ao mundo e, dentre as
> opções de segurança, em disable_functions, desabilita várias funções,
> inclusive a dir().
> Ocorre que, segundo a equipe de programação, esta função é bastante utilizada.
> Pelo que entendi, esta função permite varrer diretórios dentro do
> servidor (Se eu estiver errado, podem me corrigir).
> A pergunta é a seguinte: Teria como eu isolar somente o diretório a
> ser pesquisado pela página desejada pelo programador através do
> php.ini?
> 
> Agradeço desde já.
> 
> Silmar
> -------------------------

não tem como limitar até onde eu vi no manual

http://br.php.net/manual/en/ref.dir.php

Lembre que o php é rodado pelo apache , portanto ele vai ver o que o seu
usuario www pode ver a principio.

99,99% das falhas de segurança são decorrente ao mau uso da ferramenta
de programação , portanto a principio se os programadores usam essa
função em algum script isso não torna a aplicação necessariamente
critica em relação a segurança , mas se ele deixa o patch ser passado
por get ou post isso sim é uma falha de segurança da aplicação.
Normalmente as falhas de segurança das aplicações via web são
relacionadas a certos "automatismos" na construção da aplicação, comando
criticos devem ser tratados como criticos e merece todo o cuidado.

Se quem desenvolve a aplicação que roda no seu servidor não tem
conhecimento ou capacidade para isso melhor trocar de programador, no
caso de hosting complica , mas se vc quer por si mesmo afastar qualquer
possibilidade o freebsd tem muitos recursos desde simplesmente montar a
partição documet_root como nosuid,noexec,ro e acls :

man mount

acls    Enable Access Control Lists, or ACLS, which can be cus-
                     tomized via the setfacl(1) and getfacl(1) commands.

vc ainda tem o jail para separar a aplicação do sistema base.

boa sorte

[]'s


		
_______________________________________________________ 
Yahoo! Mail - Sempre a melhor opção para você! 
Experimente já e veja as novidades. 
http://br.yahoo.com/mailbeta/tudonovo/

Mais detalhes sobre a lista de discussão freebsd