• ? Вопрос при установке параметра open_basedir в PHP параметр session.save_path может показывать куда-то вне этого каталога?

Replies (8)

  • @Toyoku-mono, вроде бы даже должен
  • @beard, Но смотри, вот тут cyberciti.biz пишут :
    #15 Limit PHP Access To File System
    The open_basedir directive set the directories from which PHP is allowed to access files using functions like fopen(), and others. If a file is outside of the paths defined by open_basdir, PHP will refuse to open it. You cannot use a symbolic link as a workaround. For example only allow access to /var/www/html directory and not to /var/www, or /tmp or /etc directories

    И тут же :
    #16 Session Path
    Make sure path is outside /var/www/html and not readable or writeable by any other system users
  • @Toyoku-mono, Ну да, всё так и есть. Хранилище сессий должно быть вне иерархии open_basedir, чтобы из нельзя было читать из скриптов
  • @beard, И upload_tmp_dir="/var/lib/php/session" они фигачат туда-же. А будет ли оно работать после такого?
  • @Toyoku-mono, ну так думай своей головой, а не тупо копипасть. Всё должно быть раздельно
  • @beard, :)))
  • @Toyoku-mono, Работать будет. Сходная функциональность: временно хранить что-то прилетающее от юзера. Имена файлов формируются по разному, поэтому наложений не будет. Но лучше разделить
  • @beard, Ну атм особо ничего прилетать не будет, просто охота закрыть самые широкие дыры в безопасности раз уж я сам себе хостинг теперь.
    Да еще сцуки китайцы долбятся по странным адресам (кажется wordpress ищут, идиоты)