1
A
回答
2
免責聲明$ allowedPaths的具體名單:如果不控制PHP設置在服務器上的方式,這個答案是沒用的。
我們確實需要更多關於PHP設置的信息,比如它使用的是哪個Web服務器以及哪個SAPI模式。你可以找出哪個SAPI模塊正在使用的運行echophp_sapi_name()
但是,如果我想這是Apache 2.2的與mod_php的:
PHP的Apache模塊版本上運行的Web服務器的用戶和組。還有第二個名爲suPHP的Apache模塊,它封裝了PHP CGI版本,使其作爲腳本的所有者和組運行(並避免必須手動設置Apache的suEXEC)。
除此之外,更改文件系統的權限以便用戶不具有對敏感目錄及其文件的讀訪問權限應該足夠好。
0
您將不得不配置目錄的權限,以便用戶PHP無法訪問它們。
要在Linux/Unix系統上這樣做,您需要更改目錄所有者(chown)並更改其權限(chmod)以及可能的命令行訪問權限。這真的取決於你的服務器是如何配置的,誰擁有這些文件,以及PHP運行的是誰。
要在Linux系統上找到PHP用戶的用戶標識,請使用posix_getuid()。
我可以想象除了通過disable_functions刪除某些功能的訪問權限外,沒有其他方法可以保護PHP側訪問文件。不過,這可能(也可能會)也會打破許多合法行爲。
+0
我想,他想從PHP控制這個,例如檢查文件是否包含允許的路徑。至少我是這樣理解這個問題的。 – Gordon 2010-01-06 14:47:48
+0
我認爲戈登的答案是最合適的。當然,文件權限應該適當設置,但是這會影響服務器上的所有** php腳本 - 在這種情況下,運行chroot和/或設置open_base_dir將是明智的。 C. – symcbean 2010-01-06 17:41:02
+0
對我來說,這個問題聽起來像OP有一個他想要運行的第三方編碼腳本,並且希望確保它不會在服務器上發生任何不愉快的事情。在這種情況下,設置正確的權限可能是最好的選擇。 – 2010-01-06 18:34:25
2
是的,只需編寫腳本,以便它只訪問安全目錄中的文件。不要(永遠)從用戶輸入中的未經檢查的路徑訪問文件。根據可接受的路徑和/或文件名列表檢查路徑,或在代碼中包含路徑以訪問該文件,以便只將文件名傳遞給訪問代碼。
這些功能將幫助: pathinfo(), dirname(), basename()
1
像這樣的東西應該工作:
function isBelowAllowedPath($file, $allowedPath)
{
return (strpos(realpath($file), $allowedPath) === 0);
}
isBelowAllowedPath('/etc/passwd', '/var/www/pub/'); // false
isBelowAllowedPath('/var/www/pub/index.htm', '/var/www/pub/'); // true
,或者如果你想確保$文件是存在的,以及
function isBelowAllowedPath($file, $allowedPath)
{
return file_exists($allowedPath . basename(realpath($file)));
}
isBelowAllowedPath('/../../../../etc/passwd', '/var/www/pub/'); // false
isBelowAllowedPath('index.htm', '/var/www/pub/'); // true
或者如果你想$文件在一個(不低於路徑)
function isInAllowedPath($file, array $allowedPath)
{
$fileDir = realpath(dirname($file));
return (in_array($fileDir, $allowedPath));
}
$allowed = array('/var/www/pub/', 'somewhere/else');
isInAllowedPath('/var/www/pub/foo/index.htm', $allowed); // false
isInAllowedPath('/var/www/pub/index.htm', $allowed); // true
相關問題
- 1. 限制訪問限制訪問用戶的PHP腳本
- 2. MPI:如何限制對文件系統的訪問?
- 3. C++,linux:如何限制函數訪問文件系統?
- 4. 限制插件通過appdomain訪問文件系統和網絡
- 5. 安全:限制插件訪問文件系統和網絡
- 6. 如何限制/授權訪問PHP腳本?
- 7. 如何從Nuxt.js訪問文件系統?
- 8. Azure Webjob - 訪問本地文件系統
- 9. 本地文件系統訪問和PHP5
- 10. 如何使用.htaccess文件限制PHP文件訪問?
- 11. Xamarin.Android訪問文件系統
- 12. 如何限制訪問的文件夾
- 13. 如何限制文件夾訪問
- 14. 如何防止訪問本地文件系統
- 15. 如何訪問Silverlight中的本地文件系統
- 16. 如何將文件從本地文件系統複製到HDFS文件系統?
- 17. URL訪問腳本中AppleScript的文件名長度限制?
- 18. 限制電子表格訪問腳本
- 19. 如何從系統中訪問系統jboss文件夾中的文件
- 20. 另一個版本控制系統是否具有類似ClearCase的文件系統訪問文件版本?
- 21. 限制訪問文件
- 22. 如何限制對PHP文件的訪問?
- 23. 如何限制PHP文件訪問執行目錄?
- 24. 訪問iphone文件系統和複製文件
- 25. 如何訪問「文件夾」,「文件」等系統圖標?
- 26. linux文件系統權限問題
- 27. 限制特定WordPress用戶對PHP腳本的訪問
- 28. .NET Web服務器上的文件系統訪問權限
- 29. 如何在android模擬器中訪問文件系統的本地文件?
- 30. 限制瀏覽器訪問的文本文件權限
這是一個是/否的問題;)答案是肯定的。 – Gordon 2010-01-06 14:43:34