Nastavení php.ini - disabled functions

[Thomas123]

Zdravím, budu mít na serveru cca 10 webů (cizích i od kámošů) a tak jsem nastavoval PHP, aby bylo trochu lépe upravené. Ovšem zbývá mi už pouze pozakazovat nebezpečné fce, vzhledem k tomu, že v PHP jsem takový pokročilý začátečník, tak nevím, co přesně zakázat. Zatím mám z netu posbíráno cca toto:

Kód: Vybrat vše

proc_nice, proc_terminate, proc_get_status, proc_close, proc_open, ini_alter, dl, system, pfsockopen, fsockopen, leak, shell_exec, syslog, link, readlink, symlink, error_log, ini_restore, openlog, passthru, socket_create, socket_write, shmop_close, shmop_delete, shmop_open, shmop_read, shmop_size, shmop_size, exec, popen, parse_ini_file, show_source, php_uname, escapeshellcmd, apache_child_terminate, apache_setenv, define_syslog_variables, escapeshellarg, eval, fp, fput, ftp_connect, ftp_exec, ftp_get, ftp_login, ftp_nb_fput, ftp_put, ftp_raw, ftp_rawlist, highlight_file, ini_get_all, inject_code, mysql_pconnect, phpAds_remoteInfo, phpAds_XmlRpc, phpAds_xmlrpcDecode, phpAds_xmlrpcEncode, posix_getpwuid, posix_kill, posix_mkfifo, posix_setpgid, posix_setsid, posix_setuid, posix_uname, xmlrpc_entity_decode, , disk_free_space, disk_total_space, diskfreespace, fileinode, pclose, pcntl_exec, pcntl_fork, pcntl_signal, pcntl_waitpid, pcntl_wexitstatus, pcntl_wifexited, pcntl_wifsignaled, pcntl_wifstopped, pcntl_wstopsig, pcntl_wtermsig, socket_accept, socket_bind, socket_create_listen, socket_create_pair, socket_listen

Mám nějakou fci vyřadit ze seznamu a nějakou naopak přidat?

Díky moc

[l_iNu$]

Většinu těch funkcí je zbytečný zakazovat, třeba tyhle bych určitě povolil: parse_ini_file, show_source, eval, ftp_ funkce, ini_get_all, proč třeba zakazovat ini_alter když je to jen alias na ini_set který zakázaný není?

[Thomas123]

A které fce bys doporučil zakázat? Chci opravdu toto zabezpečit na té úrovni, aby mi tam uživatelé nedělali bordel a bezpečnostní díry.

[drp]

neposkytnul bys me pls prostor? byl bych moc rad.

[Thomas123]

Jak moc na to spěcháš? Nějak se domluvíme ...
Ale předně potřebuji toto vyřešit.

[l_iNu$]

Se třeba inspiruj u českého hostingu, http://www.cesky-hosting.cz/pro-zakazni ... gurace-php, nicméně tam mají zakázané ini_set proto se tomuhle hostingu dost lidí vyhýbá, třeba tojeono.cz neblokuje funkce vůbec žádné http://www.tojeono.cz/script/phpinfo.php -> zabezpečení je lepší řešit na jiné úrovní než přímo v PHP, s tím ale nedokážu pomoct, rozhodně se doporučuje PHP pod FastCGI a suexec.

[Thomas123]

No pokud vím, tak ini_set je na nastavení "php.ini pro jeden daný script". Se jim nedivím, že to mají vypnuté. Jinak u tojeono.cz by tedy měli jít spouštět příkazy, ne? Není to trochu nebezpečné?

[l_iNu$]

Pokud PHP běží pod účtem, který má omezené práva, tak by to nebezpečný být nemělo, třeba na hostmonster.com se exec dá klidně používat.