markooff
02-07-2007, 12:59
JAK OBIECALEM, biore sie sukcesywnie za tlumaczenie calosci tekstow zwiazanych z joomla security manual
==================================Tresc postu =================================
Hej,
po przeczytaniu tego wątku (dyskusji) chciałbym pare rzeczy podsumować, a kilka znacznie uprościć poniewaz znalazłem trochę zgrzytów w niektórych postach.
Pisane nie w porządku alfabetycznym i z pewnością nie wyczerpując tematu:
get_user_name() - używanie tej funkcji do "konstruowania" ścieżki mija sie z celem i jest mało wiarygodne, ponieważ nie ma praktycznie związku pomiędzy nazwą użytkownika podawaną PHP a rzeczywistą fizyczną/logiczną ścieżką czy inną strukturą okreslającą katalog domowy, root directory itp. Większość prowiderów hostujących serwisy używa innych metod mapowania ścieżek, kont, śledzenia połączeń w IDS, nadawania uprawnień i innych czynności.
phpinfo() - informuje gdzie dokładnie się znajduje kopia php.ini z której korzysta aktualnie uruhomiona wersja PHP na wypadek gdybyś chciał użyć jej jako źródła dla zrobienia kopii. Informuje też czy PHP jest uruchomione jako 'moduł' czy jako skrypt 'CGI'
(Oczywiscie to tylko niektóre informacje jakich dostacza phpinfo() - oprócz podanych tutaj mamy całą gamęustawień , zmiennych środowiskowych itp. Bardzo niebezpieczne jest pozostawianie tej funkcji włączonej na publicznym serwerze. Przyp.tłum.)
___ plikiphp.ini - nie ma sensu myśleć o zamianie parametrów run-time 'w locie' jeśli PHP jest uruchomione jako modul w Apache (mod_php), ponieważ moduł czyta plik php.ini tylko raz przy starcie całego serwera (dokonywanego przez administratora). Natomiast jeśli PHP jest uruchomiony jako CGI -- o ile jest odpowiednio skonfigurowany -- będzie szukał plików konfiguracyjnych (php.ini) najpierw w katalogu w którym znajduje się"głowny skrypt" znajdującym się w zmiennej $PHP_SEFL, a jeśli go tam nie odnajdzie, przeszukiwana jest lista 10 dokładnie określonych lokacji.
==================================Tresc postu =================================
Hej,
po przeczytaniu tego wątku (dyskusji) chciałbym pare rzeczy podsumować, a kilka znacznie uprościć poniewaz znalazłem trochę zgrzytów w niektórych postach.
Pisane nie w porządku alfabetycznym i z pewnością nie wyczerpując tematu:
get_user_name() - używanie tej funkcji do "konstruowania" ścieżki mija sie z celem i jest mało wiarygodne, ponieważ nie ma praktycznie związku pomiędzy nazwą użytkownika podawaną PHP a rzeczywistą fizyczną/logiczną ścieżką czy inną strukturą okreslającą katalog domowy, root directory itp. Większość prowiderów hostujących serwisy używa innych metod mapowania ścieżek, kont, śledzenia połączeń w IDS, nadawania uprawnień i innych czynności.
phpinfo() - informuje gdzie dokładnie się znajduje kopia php.ini z której korzysta aktualnie uruhomiona wersja PHP na wypadek gdybyś chciał użyć jej jako źródła dla zrobienia kopii. Informuje też czy PHP jest uruchomione jako 'moduł' czy jako skrypt 'CGI'
(Oczywiscie to tylko niektóre informacje jakich dostacza phpinfo() - oprócz podanych tutaj mamy całą gamęustawień , zmiennych środowiskowych itp. Bardzo niebezpieczne jest pozostawianie tej funkcji włączonej na publicznym serwerze. Przyp.tłum.)
___ plikiphp.ini - nie ma sensu myśleć o zamianie parametrów run-time 'w locie' jeśli PHP jest uruchomione jako modul w Apache (mod_php), ponieważ moduł czyta plik php.ini tylko raz przy starcie całego serwera (dokonywanego przez administratora). Natomiast jeśli PHP jest uruchomiony jako CGI -- o ile jest odpowiednio skonfigurowany -- będzie szukał plików konfiguracyjnych (php.ini) najpierw w katalogu w którym znajduje się"głowny skrypt" znajdującym się w zmiennej $PHP_SEFL, a jeśli go tam nie odnajdzie, przeszukiwana jest lista 10 dokładnie określonych lokacji.