martedì, ottobre 16, 2012

php_admin_value disable_functions = NON funziona

- post<li> - Permalink

phpinfo() disabled?
Cercando di mettere in sicurezza (non è mai troppa) i siti web in hosting sui miei server mi sono accorto di questa particolarità.

E' possibile  da file di configurazione di Apache andare a modificare i valori di PHP in modo da personalizzarli per ogni singolo VHost, il caso tipico è per esempio

#Securing
php_admin_flag allow_url_fopen Off
php_admin_value open_basedir "/var/www/webs/webXXX.com:/tmp" 


Allo stesso modo volevo, come riportato in più di un how-to disabilitare una serie di funzioni pericolose con il comando

php_admin_value disable_functions “show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open”

Peccato che non funzioni! Apache lo digerisce, phpinfo() te la mostra come valore locale diverso dal generale, ma ti mostra che tra le funzioni disabilitate c'è proprio se stessa (vedi immagine articolo)!

L'unico modo per disabilitare delle funzioni è a livello globale dentro al php.ini come confermato da una(!) riga dentro alla documentazione ufficiale:

"This directive must be set in php.ini For example, you cannot set this in httpd.conf."

Facile no?

Che altre sicurezze configurate sempre nei vostri server web?

Byez

Se l'America fosse stata scoperta tante volte quante l'ho scoperta io, nessuno si ricorderebbe di Cristoforo Colombo. 

Nessun commento:

Articoli correlati divisi per etichetta



Widget by Hoctro