Ограничение видимости скриптам

[iankov]

Выделил я под веб-сервер скажем каталог htdocs как это сделано в xampp.
Теперь можно создать там пхп скрипт и в нем создать функцию на удаление файла/каталога и запустить с параметром ../ например. И скрипт выйдет таким образом за пределы папки htdocs и таким образом можно весь диск удалить.
Так вот: как можно поставить ограничение, чтобы скрипты могли оперировать только в заданной директории в во всех поддиректориях, но чтобы не могли получать доступ за пределами заданной директории.

[wall66]

любые скрипты запускаются от определенного пользователя, которому можно ограничить права, впрочем, если вы не занимаетесь хостингом - вам об этом думать не нужно

[iankov]

ну в общем то, интересуюсь как это делают на хостингах. Там ведь выйти за пределы директории не удается. Где и что и куда прописать для создания ограничей? Подозреваю что в httpd.conf нужно править....

[mv28jam]

Например в linux создаем корневой для программы каталог с помошью команды chroot, и готово.

Но эта тема очень обширная и лучше ишите литературу...

[iankov]

ну вот дам я команду скрипту unlink('d:/file.txt');
или же для линукса unlink('usr/home/file.txt');
и полетит файл как миленький....

[SkyM@n]

не апач надо настраивать, а РНР.
Там можно указать, какие функции нельзя использовать.
Вот тут смотрите список нежелательных функций. Кстати, при включении "безопасного" режима, возможность их использования отключается автоматом. Но я бы не советовал юзать "безопасный" режим.

[mv28jam]

Переписано по причине неоднозначности высказываний.
Если кого-то ввёл в заблуждение извиняюсь.
Существуют несколько ситуаций при которых может быть необходимо ограничить доступ php к файлам:
1)Защитить систему от взлома через уязвимости кода - те исключить доступ или удаление файлов через запросы пользователя. PHP работает с веб-сервером apache в нашем случае. У apache есть такой модуль как mod_security. C помошью этого модуля можно фильтровать всё запросы идущие через apache. Как работает читайте здесьwww.modsecurity.org. А так же рекомендуется использовать mod_rewrite, чтобы затруднить взлом.
2)Полностью ограничить доступ приложений - те вообще запретить и apache и php работу с файлами "выше" определённой директории. Для этого можно использовать chrooting. Средства chrooting, создают новую структуру корневого каталога, перемещая в него все файлы демона, и выполняя демон в новой среде. Те демон (и все дочерние процессы) будут работать с созданным нами каталогом. Ключевое слово здесь "дочерние процессы", тк php "у нас" работает как модуль Apache или cgi-приложение. PHP будет дочерним процессом и выше установленной нами chroot директории попасть не сможет.
3)Частично ограничить доступ php. Попытаться грамотно писать в safe_mode.

Код:

Меня поражает то, что создатель поста даже не удосужился 
поискать информацию по тому что я написал ему сразу. 
В связи с чем у меня возникло много мат-перематных мыслей.

Если кому-то нужны ссылки и названия книг по этой теме пишите.

[SkyM@n]

Цитата:

Сообщение от mv28jam

Урок информатики.
Что есть php!? Это модуль apache или cgi-приложение apache в зависимости от того как вы его установите.

Не в обиду вам сказано, но с такими учениями ученики ваши двоечниками будут. РНР - это не Апач, а отдельное приложение, функционирующее прекрасно САМОСТОЯТЕЛЬНО. (и до появления Апача, кстати)

Но соглашусь с вами по поводу изменения корневой директории - это, имхо наиболее хороший вариант.