[linux-l] PHP 4.3.x auf Redhat 7.1

[Thomas Knop]

* Christian Boulanger <c.boulanger at gmx.de> [09.12.03 06:36]:
> 2) Sicherheit
> 
> Hier würde ich gerne mehr von Systemadministratoren hören, was ihre
> Erfahrung mit PHP ist und warum viele so große Sorgen deswegen haben. Es
> ist immer ein Ärgernis, wenn der Provider PHP nur im "Safe mode" laufen
> lässt, weil dann die Hälfte aller Webapplikationen nicht funktionieren.
> Aber es wird wahrscheinlich gute Gründe dafür geben.
Dann hat dein Provider nicht verstanden was er tut oder eben du nicht
wie die Applikation funktioniert. Beides ist eine Katastrophe.
Ich lasse php auch immer nur im savemode laufen und kann mich nicht erinnern
einmal damit Probleme gehabt zu haben.
Wenn php nicht im Savemode läuft aut man allerdings sofort ein haufen
Probleme. z.B. $fd=open("/etc/passwd"). Dann wirft php_info() Daten
raus, die man eventuell gar nicht rausgeben will (z.B. genaue Apache
Version; auch im Safemode).
Es ist ein gewaltiger Unterschied, ob ich die Sicherheit von php als
Provider betrachte oder als Programmierer. Ich sehe den Savemod nur als
zusätzlichen Schutz an. Falls ich durch einen Programmierfehler einem
Angreifer die Möglichkeit gegeben habe phpcode auszuführen, kann er halt
nicht sofort auf das ganze System zugreifen.

Gruß Thomas Knop