exec disabled - הוסטס

mtk · 14-12-08, 15:37

ציטוט:

נכתב במקור על ידי SDF

אני כשאני קונה חשבון אחסון, אני מצפה לקבל גישה לשלל על גבי SSH.
במה זה שונה מלעשות exec?

נראה לי זו השוואה לא נכונה.
אתה בתור בעל האחסון, תעשה מה שאתה רוצה בשרת שלך, אפילו תפרוץ לעצמך...

אתר מאוחסן על השרת, יכול לשים סקריפט PHP פשוט, שיריץ פקודות מערכת בעזרת EXEC.
במקרה הגרוע יותר, פורץ יפרות לחשבון שמאוחסן על השרת ויעשה את אותה פעולה פשוטה...

ציטוט:

נכתב במקור על ידי SDF

מחיפוש ראשוני שלי בגוגל עולה:
http://hostingfu.com/article/running...shared-hosting
שזה נוגע על קצה המזלג בבעיה ובפתרונות השונים.
תוכל מן הסתם למצוא עוד הרבה כתבות בנושא.

לסיכום רק נסיים בציטוט מהמנואל של PHP:

תמצית: safe mode הוא פתרון לא נכון מבחינה ארכיטקטורית, אבל מכיוון שאין פתרונות טובים יותר בשלב זה ברמת השרת ווב או המערכת הפעלה.

ונזכיר שכל חודש צץ איזה חור אבטחה חדש שקשור לעקיפת הsafe mode וגם שסייף מאוד הולך בPHP 6.
לדעתי זה בדיוק הזמן עכשיו להערך לפתרונות אחרים.

יש אצלי בשרת האופציה השלישית המדוברת כאן (כלומר, הרצה ייחודית לכל משתמש).
האם (שאלתי את זה קודם), אני יכול להפעיל את EXEC חזרה, ולהיות רגוע?

אם כן, זה פותר לי את בעיית IMAGEMAGICK באופן מוחלט...

SDF · 14-12-08, 15:49

ציטוט:

נכתב במקור על ידי mtk

נראה לי זו השוואה לא נכונה.
אתה בתור בעל האחסון, תעשה מה שאתה רוצה בשרת שלך, אפילו תפרוץ לעצמך...

אתר מאוחסן על השרת, יכול לשים סקריפט PHP פשוט, שיריץ פקודות מערכת בעזרת EXEC.
במקרה הגרוע יותר, פורץ יפרות לחשבון שמאוחסן על השרת ויעשה את אותה פעולה פשוטה...

לא הבנת, יש לי חשבון בשרת שיטופי עם גישה בSSH.
אני מחשיב את זה למשהו בסיסי.

תפעיל את האפשרות הזאת שיש לך ותבדוק:

PHP קוד:


			
<?php 

 system("id"); 

 echo "\n<br />";

 echo php_sapi_name();

?>

mtk · 14-12-08, 15:57

כן, גם אני רואה בSSH משהו בסיסי, אבל זה לא אותו דבר.

בכל מקרה, נהורדתי את EXEC מרשימת ה-disable_functions
הרצתי את הקוד PHP שלך, והאמת שID לא מחזיר לי כלום...
דווקא מתוך SSH הוא כן

SDF · 14-12-08, 21:08

אולי כי system() וexec() זה לא בדיוק אותו דבר =)

PHP קוד:


			
<?php

echo exec("id");

 echo "\n<br />";

 echo php_sapi_name(); 

?>

ומה הSAPI מחזיר?

mtk · 14-12-08, 21:14

OK, זה היה SYSTEM פשוט הפונקציה הייתה חסומה גם כן

לא רק שזה עובד ומחזיר את היוזר הנוכחי (בעל החשבון ולא בעל השרת או APACHE), גם הצלחתי להתקין IMAGEMAGICK ולגרום לזה לעבוד כמו שצריך...

SDF · 14-12-08, 22:05

אז יופי טופי אני מניח =)
לא אמרת מה מחזיר לך הSAPI.

mtk · 14-12-08, 22:11

ציטוט:

נכתב במקור על ידי SDF

אז יופי טופי אני מניח =)
לא אמרת מה מחזיר לך הSAPI.

cgi-fcgi - למה זה חשוב?

14-12-08, 15:57	# 3
mtk חבר חדש דירוג מסחר: (0) מיני פרופיל תאריך הצטרפות: May 2007 הודעות: 20	כן, גם אני רואה בSSH משהו בסיסי, אבל זה לא אותו דבר. בכל מקרה, נהורדתי את EXEC מרשימת ה-disable_functions הרצתי את הקוד PHP שלך, והאמת שID לא מחזיר לי כלום... דווקא מתוך SSH הוא כן __________________ MtK - מומחה ג'ומלה ו-RTL \| אחסון אתרים גן פו הדב \| גן מעיין \| ג'ומלה!ישראל \|הכרויות

14-12-08, 21:08	# 4
SDF חבר בקהילה דירוג מסחר: (0) מיני פרופיל תאריך הצטרפות: Sep 2006 מיקום: Negev הודעות: 270	אולי כי system() וexec() זה לא בדיוק אותו דבר =) PHP קוד: `<?php echo exec("id"); echo "\n<br />"; echo php_sapi_name(); ?>` ומה הSAPI מחזיר? __________________ FreeBSD, a *nix operating system

14-12-08, 21:14	# 5
mtk חבר חדש דירוג מסחר: (0) מיני פרופיל תאריך הצטרפות: May 2007 הודעות: 20	OK, זה היה SYSTEM פשוט הפונקציה הייתה חסומה גם כן לא רק שזה עובד ומחזיר את היוזר הנוכחי (בעל החשבון ולא בעל השרת או APACHE), גם הצלחתי להתקין IMAGEMAGICK ולגרום לזה לעבוד כמו שצריך... __________________ MtK - מומחה ג'ומלה ו-RTL \| אחסון אתרים גן פו הדב \| גן מעיין \| ג'ומלה!ישראל \|הכרויות

14-12-08, 22:05	# 6
SDF חבר בקהילה דירוג מסחר: (0) מיני פרופיל תאריך הצטרפות: Sep 2006 מיקום: Negev הודעות: 270	אז יופי טופי אני מניח =) לא אמרת מה מחזיר לך הSAPI. __________________ FreeBSD, a *nix operating system


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)