免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
12下一页
最近访问板块 发新帖
查看: 7779 | 回复: 10

[Web] 在做php.ini安全配置的时候disable_function该不该关闭phpinfo [复制链接]

论坛徽章:
0
发表于 2009-06-13 14:11 |显示全部楼层
RT,php.ini里的配置。disable_function 这个选项。我肯定会关闭。

[ 本帖最后由 liang3391 于 2009-6-13 16:42 编辑 ]
多选投票: ( 最多可选 3 项 ), 共有 6 人参与投票
100.00% (6)
0.00% (0)
0.00% (0)
您所在的用户组没有投票权限

论坛徽章:
0
发表于 2009-06-15 13:05 |显示全部楼层
路过的朋友留下脚印呀

论坛徽章:
0
发表于 2009-06-15 13:07 |显示全部楼层
咋没人回复呢,看了都没回的

论坛徽章:
0
发表于 2009-06-16 17:03 |显示全部楼层
dreamhost没关

干脆phpinfo内部调用的其他函数你也都一起关了好了

论坛徽章:
0
发表于 2009-06-17 10:46 |显示全部楼层
phpinfo,system,exec之类都应该关闭

论坛徽章:
0
发表于 2009-06-18 09:42 |显示全部楼层
楼上哥们的说法我支持。

论坛徽章:
0
发表于 2009-06-22 14:31 |显示全部楼层
我想说不是disable_function而是disable_functions
phpinfo();没必要禁用,禁用掉system,shell_exec等等就好了。

[ 本帖最后由 只爱睡觉 于 2009-6-22 14:33 编辑 ]

论坛徽章:
0
发表于 2009-06-22 16:39 |显示全部楼层
原帖由 只爱睡觉 于 2009-6-22 14:31 发表
我想说不是disable_function而是disable_functions
phpinfo();没必要禁用,禁用掉system,shell_exec等等就好了。

好,这个是要的

论坛徽章:
0
发表于 2009-06-23 11:29 |显示全部楼层
Well I was thinking of stopping users that can upload php scripts from getting that information. If you disable phpinfo, you still can use functions like ini_get_all, get_loaded_extensions, php_ini_scanned_files, and so on. You can also look at the $_SERVER array, and you can read a lot of files.

PHP safe_mode helps a bit, but many web servers with safe_mode turned on still allow perl scripts. So I think it's a bit "shallow" - it just makes it a bit harder to get such information. I read somewhere, that there will be no safe_mode in PHP 6. I guess the reason is, that it just gives server admins a false sense of security.

My point is, if you allow users to upload and run PHP code on your server in the first place, denying for example phpinfo does not add much to security.


http://www.linuxquestions.org/qu ... -to-phpinfo-723766/

论坛徽章:
0
发表于 2009-06-23 13:26 |显示全部楼层
做过安全的哥们都知道 要必要禁止phpinfo。
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

SACC2019中国系统架构师大会

【数字转型 架构演进】SACC2019中国系统架构师大会,7折限时优惠重磅来袭!
2019年10月31日~11月2日第11届中国系统架构师大会(SACC2019)将在北京隆重召开。四大主线并行的演讲模式,1个主会场、20个技术专场、超千人参与的会议规模,100+来自互联网、金融、制造业、电商等领域的嘉宾阵容,将为广大参会者提供一场最具价值的技术交流盛会。

限时七折期:2019年8月31日前


----------------------------------------

大会官网>>
  

北京盛拓优讯信息技术有限公司. 版权所有 16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122
中国互联网协会会员  联系我们:huangweiwei@it168.com
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP