クソスレたてるような奴は、こっちにも要らん。どっか逝け。
取り敢えず、終了。
CGI版ではセキュリティは高いが、その代わり他から取ってきたソースは改造して使わないといけないので面倒。
専用サーバーや自鯖だったらモジュールにしておけば問題ないが、共用サーバーだからこそ迷ってる。
おれがあえてこの板に書いたということは上のようなことだということは読めなかったか?
>動いてしまい、ソースのパーミションも644とかにしないと
>いけないのでセキュリティ・ゼロ。データベースのパスワード
>も簡単に見られてしまう。
それはお前がヘタレだから。
ttp://pc.2ch.net/test/read.cgi/php/982687820/256 でも読め。
本気でPHP使いたいやつならこのぐらい考えろ。
板違いじゃないとか言っちゃって は馬鹿丸出しですな。(ぷ
-----------------------------------終了-----------------------------------
晒しage
板違いだからあげんなよ。
晒しage
乱しage
晒しage
そんな板orスレッドないです。
よくわからないので適当
なるほど。可能かもしれません。試さないけど(爆
俺の案。久しぶりに頭使ってみた。
データベースのパスワード等覗かれたくないモノは、別ファイルにPHPで作成&書き出して、
パーミッションは600にする。
PHPで書き出したファイルは nobody ( or www等 ) が所有者なので、suexecでユーザ権限で
CGIを動かす場合、CGIからは覗けない。
他のユーザのPHPからは safe_mode その他の設定で覗けない。
例
setting.php
--------------------------------
<?php
$fp = fopen ("./setting.dat", "w");
fputs ($fp, "password");
fclose ($fp);
chmod ("./setting.dat", 0600);
echo 'make password file';
?>
--------------------------------
dbaccess.php
---------------------------------
<?php
$fp = fopen ("./setting.dat", "r");
$dbpasswd = fgets($fp, 4096);
fclose ($fp);
・
(その他の処理)
・
?>
---------------------------------
もち書き出しが終わったら、setting.phpは削除。これをCGIで覗かれたら元も子もない。
って勢いで書いたけどダメだったらスマソ。ってかこれって前出てたっけ???
# やっぱ究極的にはユーザ側の責任でって事で。
## 初期設定じゃ対処のしようも無いので、対処できるようにして、案を考えるトコまでで私は逃げます(爆
でも、phpinfo()やったら、おれんとこの鯖はsafemodeじゃなかったですー。
print `$arg`;
の一行で簡易telnet ができちゃうほどの親切設計でしたですー(笑
終了〜
suExecを使ってユーザ権限で実行するために、モジュールと独立バイナリの
両方のphpがインストールされてるサーバというのは見たことがある。
レン鯖じゃないけどな。
本来sandboxなアカウントなんだし、「所有するファイルが多くなるほど権限が大きくなる」
おれもそれが便利と思う
そんなレンタル鯖あっても、ココ見てる厨房には意味なし
どうせモジュールとCGIの違いなんてわかんないし
両方使える。
XREAはCGIでも[#!/usr〜]は入れる必要なし。
どうやってんのか知らんが。
アヒルもsuexecで644ですYO! でも愚毛ですYO!
どう違うって、nobody(デフォルトなら)で動くか、自分の権限で動くかでしょ。
モジュールの方が早いけど共有鯖だとちょっと不安。CGIだと遅いけど安全。
安全たって、データを666とかしてたら意味ないけどねー(w
ありえない。
いや、ちゃんとできるんだけど。
詳細きぼんぬ。
system("id"); とかしてsuexecが効いてるか確認してみてくれる?
今は実行環境が手元にないのでこうすればいい、というのだけ。
AddHandler php-script .php
Action php-script /~hoge/cgi-bin/php.cgi
php.cgi は /usr/local/bin/php のそのままコピーしたものでいい。
この設定で hoge.php にアクセスすると $PATH_TRANSLATED に hoge.php の
フルパスがセットされて "php.cgi $PATH_TRANSLATED" が実行される。
よって、hoge.php の実行権限も1行目の #!/usr/... も不要。
php.cgi だけが適切な権限で設置されていればよい。
suExec な場合でもセキュリティモデルに合致するよう気をつけておけばいい。
アクセスログには hoge.php が、suexec のログには php.cgi が記録される。
なーんだ、そういうことか。そーえばPHP-2.*の頃だったか、
そういう手法あったよね。phpラッパーみたいの。
なんか処理として激しくアホくさいのでsage
Λ_Λ | 君さぁ こんなスレッド立てるから |
( ´∀`)< 厨房って言われちゃうんだよ |
( ΛΛ つ >―――――――――――――――――――‐<
( ゚Д゚) < おまえのことを必要としてる奴なんて |
/つつ | いないんだからさっさと回線切って首吊れ |
\____________________/
(-_-) ハヤクシンデネ… (-_-) ハヤクシンデネ… (-_-) ハヤクシンデネ…
(∩∩) (∩∩) (∩∩)
(-_-) ハヤクシンデネ… (-_-) ハヤクシンデネ… (-_-) ハヤクシンデネ…
(∩∩) (∩∩) (∩∩)
(-_-) ハヤクシンデネ… (-_-) ハヤクシンデネ… (-_-) ハヤクシンデネ…
(∩∩) (∩∩) (∩∩)
|.B1@ABCDE. |
|FGHIJKLM|
└――――――――┘
┌―――┬―――┐
| | |
| | |
| | |
age ∧_∧ / ̄ ̄ ̄ ̄ ̄ ̄
▲C ( ´∀`)< たまにはあげとくか。
▽ \ ) \______
sage |O |_|_____|
(__(_)
|.B1@ABCDE. |
|FGHIJKLM|
└――――――――┘
┌―――┬―――┐
| | |
| | |
| | |
age ∧_∧ / ̄ ̄ ̄ ̄ ̄ ̄
▲C ( ´∀`)< たまにはあげとくか。
▽ \ ) \______
sage |O |_|_____|
(__(_)
( ^^ )< ぬるぽ(^^)
ピュ.ー ( ^^ ) <これからも僕を応援して下さいね(^^)。
=〔~∪ ̄ ̄〕
= ◎――◎ 山崎渉
__∧_∧_
|( ^^ )| <寝るぽ(^^)
|\⌒⌒⌒\
\ |⌒⌒⌒~| 山崎渉
~ ̄ ̄ ̄ ̄
ピュ.ー ( ・3・) ( ^^ ) <これからも僕たちを応援して下さいね(^^)。
=〔~∪ ̄ ̄ ̄∪ ̄ ̄〕
= ◎――――――◎ 山崎渉&ぼるじょあ
CGIではめんどいから使いたくなかったんだが・・・。
今日もネタもないのにageてやるからな!
 ̄ ̄∨ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
∧_∧ ∧_∧ age
(・∀・∩)(∩・∀・) age
(つ 丿 ( ⊂) age
( ヽノ ヽ/ ) age
し(_) (_)J
|.B1@ABCDE. |
|FGHIJKLM|
└――――――――┘
┌―――┬―――┐
| | |
| | |
| | |
age ∧_∧ / ̄ ̄ ̄ ̄ ̄ ̄
▲C ( ´∀`)< たまにはあげとくか。
▽ \ ) \______
sage |O |_|_____|
(__(_)
( ・∀・) 人 ガッ
( つ―-‐-‐-‐-‐-‐○ < >__Λ∩
人 Y ノ. V`Д´)/
し(_) / ←
念のためにのせておきます
グーグルで検索するといいかも『金持ちになりたい 鎌野介メソッド』
TL6LU
