PHP.SU

Программирование на PHP, MySQL и другие веб-технологии

PHP.SU Портал

Главная

Помощь

Поиск

Поиск Яндекс Вакансии

Пользователи

Здравствуйте, Гость

( Вход · Регистрация · Правила форума )

Забыли пароль?

Как запретить просмотр файлов в директории выше заданной

Форумы портала PHP.SU » PHP » Программирование на PHP » Работа с файловой системой и файлами (Модераторы: OrmaJever, Саныч)

Страниц (1): [1]

Без описания

Поиск в теме | Версия для печати

3d_killer	Отправлено: 30 Сентября, 2014 - 19:46:30
Участник Покинул форум Сообщений всего: 1916 Дата рег-ции: Апр. 2011 Откуда: Ростов-на-Дону Помог: 21 раз(а)	Добрый вечер всем, у меня есть самописный файловый менеджер скрипт лежит по пути CODE (htmlphp): скопировать код в буфер обмена сайт\admin\modules\filemanager\action если скрипту передать такой путь : '../../../..' то он отобразит файлы и папки в директории сайта там где index, а если такой '../../../../..' то полезет выше и выведет все сайты на хосте. В интерфейсе это ограничено, но если сделать подмену то попасть выше в директорию возможно, как можно это дело ограничить?

dcc0	Отправлено: 30 Сентября, 2014 - 19:54:41
Участник Покинул форум Сообщений всего: 1043 Дата рег-ции: Июль 2014 Помог: 10 раз(а)	open_basedir в php.ni не спасет? (Отредактировано автором: 30 Сентября, 2014 - 19:54:56) ----- Март 2021. Бросил программирование

OrmaJever	Отправлено: 30 Сентября, 2014 - 19:59:02
Активный участник Покинул форум Сообщений всего: 7540 Дата рег-ции: Янв. 2010 Откуда: Чернигов Помог: 299 раз(а)	3d_killer пишет: как можно это дело ограничить? правами unix пользователя. php или апач запущен от какого нибудь www-data, вот и дать ему права только на одну свою папку и никуда выше он не полезет ----- Если вы хотя бы 3-4 раза не решите всё выкинуть и начать заново - вы явно что-то делаете не так.

3d_killer	Отправлено: 30 Сентября, 2014 - 19:59:57
Участник Покинул форум Сообщений всего: 1916 Дата рег-ции: Апр. 2011 Откуда: Ростов-на-Дону Помог: 21 раз(а)	на том хосте править его нет возможности (Добавление) так апач то запущен один для всех сайтов (Добавление) если проставить с помощью директивы ini_set то администратор может то отредактировать это

MiksIr	Отправлено: 30 Сентября, 2014 - 20:06:58
Забанен Покинул форум Сообщений всего: 378 Дата рег-ции: Сент. 2014 Помог: 10 раз(а) [+]	Ну раз самописный, то добавить туда проверку PHP: скопировать код в буфер обмена $requested_dir = realpath($requested_dir); if (!$requested_url \|\| strpos($requested_dir, __DIR__) !== 0) { throw new AccessDeniedException(); } (Отредактировано автором: 30 Сентября, 2014 - 20:07:26) ----- self-banned

3d_killer	Отправлено: 30 Сентября, 2014 - 20:20:41
Участник Покинул форум Сообщений всего: 1916 Дата рег-ции: Апр. 2011 Откуда: Ростов-на-Дону Помог: 21 раз(а)	MiksIr дело в том что администратор имеет права для редактирования этих скриптов, ему не составит труда удалить эту проверку

MiksIr	Отправлено: 30 Сентября, 2014 - 20:33:21
Забанен Покинул форум Сообщений всего: 378 Дата рег-ции: Сент. 2014 Помог: 10 раз(а) [+]	Вы хотите защитить просмотр директорий выше текущей для администратора, который может редактировать php скрипты? Тогда советы выше: chmod или open_basedir В 5.3+ можно ужесточать open_basedir ----- self-banned

3d_killer	Отправлено: 30 Сентября, 2014 - 20:43:26
Участник Покинул форум Сообщений всего: 1916 Дата рег-ции: Апр. 2011 Откуда: Ростов-на-Дону Помог: 21 раз(а)	не пойму что прописывать в php.ini пробую на денвере на сервере три сайта 1 2 3 как сделать так чтобы находясь на 3 я не мог просматривать файлы выше 3, ну и на других тоже соответственно?

dcc0	Отправлено: 30 Сентября, 2014 - 21:47:04
Участник Покинул форум Сообщений всего: 1043 Дата рег-ции: Июль 2014 Помог: 10 раз(а)	Пример open_basedir=/var/www Скрипт сможет погрузиться в глубины директории, а вот глотнуть свежего воздуха из /var уже нет (Отредактировано автором: 30 Сентября, 2014 - 21:54:09) ----- Март 2021. Бросил программирование

3d_killer	Отправлено: 30 Сентября, 2014 - 22:02:30
Участник Покинул форум Сообщений всего: 1916 Дата рег-ции: Апр. 2011 Откуда: Ростов-на-Дону Помог: 21 раз(а)	это да а если с первого сайта я кину переменную ../../../../2/ то тогда он попадет на второй сайт?

dcc0	Отправлено: 30 Сентября, 2014 - 22:27:03
Участник Покинул форум Сообщений всего: 1043 Дата рег-ции: Июль 2014 Помог: 10 раз(а)	Мда, веб-сервер-то от одного пользователя работает, а если сайтов несколько, то... придется придумывать какое-то правило ... чтобы работало для каждого виртуального хоста ----- Март 2021. Бросил программирование

3d_killer	Отправлено: 30 Сентября, 2014 - 22:29:26
Участник Покинул форум Сообщений всего: 1916 Дата рег-ции: Апр. 2011 Откуда: Ростов-на-Дону Помог: 21 раз(а)	да печалька

dcc0	Отправлено: 30 Сентября, 2014 - 23:14:32
Участник Покинул форум Сообщений всего: 1043 Дата рег-ции: Июль 2014 Помог: 10 раз(а)	В качестве предположения: попытаться в тот же open_basedir после корня указать какую-то гипотетическую переменную, хранящую виртуальный хост. Что-то вроде /var/ww/$VARIABLE (если это возможно) (Отредактировано автором: 30 Сентября, 2014 - 23:15:14) ----- Март 2021. Бросил программирование

MiksIr	Отправлено: 01 Октября, 2014 - 13:57:27
Забанен Покинул форум Сообщений всего: 378 Дата рег-ции: Сент. 2014 Помог: 10 раз(а) [+]	У вас к чему доступ то есть? К конфигу апача? К php.ini? ----- self-banned

Поиск в теме | Версия для печати

Страниц (1): [1]

Сейчас эту тему просматривают: 0 (гостей: 0, зарегистрированных: 0)

« Работа с файловой системой и файлами »

Все гости форума могут просматривать этот раздел.
Только зарегистрированные пользователи могут создавать новые темы в этом разделе.
Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.