PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : PHP - exec/system Befehl verbieten



Cerox
01.04.06, 22:53
Hallo zusammen,

ich habe hier einen Apache 2.2.0 mit PHP 5.2.1 am Laufen.

Ich würde nun gerne verhindern, dass man mithilfe des exec oder system Befehls Kommandos absetzen kann.

Z.B.

<?php system("ls -l /");?>

Ist das möglich? - ich kenne mich mit PHP bisher kaum aus, daher bitte ich um Hilfe.

derRichard
02.04.06, 00:15
hallo!

in der php.ini kannst das einstellen.

; This directive allows you to disable certain functions for security reasons.
; It receives a comma-delimited list of function names. This directive is
; *NOT* affected by whether Safe Mode is turned On or Off.
disable_functions =


hth,
//richard

sirmoloch
02.04.06, 04:24
Die PHP-Entwickler haben da auch noch etwas Nettes eingebaut: http://de2.php.net/manual/de/features.safe-mode.php ;)

Es gibt dann z.B. auch noch Back ticks, shell_exec() (laufen aufs Gleiche raus) und passthrou(). Mit dem Safe Mode fährst du auf der sicheren Seite, vorallem auch, falls du mal ein Update machst und in der neuen Version wieder neue Funktionen vorhanden sind.

Cerox
02.04.06, 13:46
Ich komme mir schon dämlich vor, aber die php.ini finde ich irgendwie nicht; ich habe auch schon mit "find / -iname php.ini" gesucht, aber er findet nichts.

Kann es sein dass die bei mir anders heißt?

phpinfo(); sagt mir der php.ini path wäre: /usr/local/apache/conf/ dort ist die php.ini aber auch nicht.