Форум русской поддержки Joomla!® CMS
05.12.2016, 22:44:32 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1]   Вниз
  Добавить закладку  |  Печать  
Автор

Какие функции PHP следует отключить?

 (Прочитано 553 раз)
0 Пользователей и 1 Гость смотрят эту тему.
2gorodabiz
Осваиваюсь на форуме
***

Репутация: +7/-2
Offline Offline

Сообщений: 99



« : 17.03.2016, 23:52:37 »

Один из провайдеров советует следующее:
Цитировать
Мы рекомендуем отключить следующие PHP функции: exec, system, passthru, readfile, shell_exec, escapeshellarg, escapeshellcmd, proc_close, proc_open, ini_alter, dl, popen, parse_ini_file, show_source, curl_exec, так как они чаще всего применяются во вредоностных скриптах.

Что скажете? Стоит ли в php.ini их отключать?
Записан
Филипп Сорокин
Живу я здесь
******

Репутация: +120/-3
Offline Offline

Пол: Мужской
Сообщений: 1449


« Ответ #1 : 18.03.2016, 01:57:16 »

exec, passthru, escapeshellarg, escapeshellcmd, parse_ini_file, popen, curl_exec — функции используется в ядре, поэтому не могут быть отключены. readfile может потенциально использоваться в расширениях и в новых версиях платформы, впрочем, как и остальные функции.

Вашему провайдеру следовало бы не грузить пользователя ненужной информацией, которая, по их мнению, снизит риски для компании, а просто нормально работать.
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 725


Свободен для работы


« Ответ #2 : 18.03.2016, 10:52:13 »

exec, passthru, escapeshellarg, escapeshellcmd, parse_ini_file, popen, curl_exec — функции используется в ядре, поэтому не могут быть отключены. readfile может потенциально использоваться в расширениях и в новых версиях платформы, впрочем, как и остальные функции.

Вашему провайдеру следовало бы не грузить пользователя ненужной информацией, которая, по их мнению, снизит риски для компании, а просто нормально работать.
Вот это новости!!))) Как это не могут быть отключены?)) впервые слышу такое, все можно отключить, вот только то что может повлиять на работоспособность, каких либо модулей или расширений, если вы отключили какую либо функцию и она начинает мелькать в error_log, то посмотрите об ее актуальности.

На практике, отключал для последней версии Joomla такой набор:
Цитировать
pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,

exec,show_source,shell_exec,passthru,system,parse_ini_file,curl_multi_exec,curl_exec,symlink,popen,phpinfo,putenv,dl,

proc_close,proc_get_status,proc_nice,proc_open,proc_terminate,

posix_access,posix_ctermid,posix_get_last_error,posix_getcwd,posix_getegid,posix_geteuid,posix_getgid,posix_getgrgid,posix_getgrnam,posix_getgroups,posix_getlogin,posix_getpgid,posix_getpgrp,posix_getpid,posix_getppid,posix_getpwnam,posix_getpwuid,posix_getrlimit,posix_getsid,posix_getuid,posix_satty,posix_kill,posix_mkfifo,posix_mknod,posix_setegid,posix_seteuid,posix_setgid,posix_setpgid,posix_setsid,posix_setuid,posix_strerror,posix_tims,posix_ttyname,posix_uname



И все четко работает!
Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3529


« Ответ #3 : 18.03.2016, 12:30:15 »

@winstrool
PHP полностью отключать не про бывали?
@2gorodabiz
У Вас второй топик и опять не о чем, это на форум админов серверов, к движку это отношение не имеет как и переводы к безопасности.
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 725


Свободен для работы


« Ответ #4 : 18.03.2016, 12:38:57 »

@winstrool
PHP полностью отключать не про бывали?
Это шутка, да?))
Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3529


« Ответ #5 : 18.03.2016, 12:40:13 »

Это шутка, да?))
Wink конечно, не было бы поста, написал бы топик старту отключить его  laugh
Записан
Taatshi
Support Team
*****

Репутация: +430/-3
Online Online

Пол: Женский
Сообщений: 4717

Мама, я снова верстал во сне...


« Ответ #6 : 18.03.2016, 16:50:38 »

flyingspook, а что, задавать вопросы околоджумловские на форуме нельзя? Вы уж просветите, а то у меня как раз по php storm много накопилось - а вдруг я задавать начну? А Вам не понравится? Ужас какой...
Записан
Филипп Сорокин
Живу я здесь
******

Репутация: +120/-3
Offline Offline

Пол: Мужской
Сообщений: 1449


« Ответ #7 : 18.03.2016, 16:52:33 »

Цитировать
от это новости!!))) Как это не могут быть отключены?)) если вы отключили какую либо функцию и она начинает мелькать в error_log, то посмотрите об ее актуальности.
Фатальную ошибку получите на выходе. Какие логи? Эти функции использует Joomla!
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 725


Свободен для работы


« Ответ #8 : 18.03.2016, 17:07:22 »

Фатальную ошибку получите на выходе. Какие логи? Эти функции использует Joomla!
Вот почитайте библиотеки, а потом попробуйте ответить, зачем Joomla лезть в систему? когда она предназначена для веба... Эти функции предназначены по большей части для администрирование каких то системных моментов, например из центральной панели хостинга, но ни как не из админки Joomla, если вам нужны такие функции из админки, то тут в принципе можно идти из раздела безопасности.

http://php.net/manual/ru/ref.exec.php - функции запуска программ
http://php.net/manual/ru/book.posix.php - расширение для управления процессами программ
http://php.net/manual/ru/book.pcntl.php

P.S: Мог бы с десяток сайтов показть которые работают на Joomla с этими отключенными функциями, да не вижу смысла, да и клиентов не к чему светить!
Записан
Филипп Сорокин
Живу я здесь
******

Репутация: +120/-3
Offline Offline

Пол: Мужской
Сообщений: 1449


« Ответ #9 : 18.03.2016, 17:42:30 »

Цитировать
Вот почитайте библиотеки, а потом попробуйте ответить, зачем Joomla лезть в систему?
А вы загляните в исходный код Joomla! и всё сами узнаете.
Записан
SeBun
Практически профи
*******

Репутация: +134/-3
Offline Offline

Пол: Мужской
Сообщений: 2279



« Ответ #10 : 18.03.2016, 18:10:36 »

А вы загляните в исходный код Joomla! и всё сами узнаете.
У вас есть предложение получше? Поскольку как раз разрабатываю приложение, связанное с безопасностью, было бы интересно услышать ваше мнение по обеспечению защиты сайта на Joomla со всеми включенными (и используемыми ей) функциями, через которые можно произвести взлом.

P.S. Прошу воспринимать не как сарказм в адрес Сорокина, а как возможную их фильтрацию, т.к. не у всех есть доступ в php.ini.
« Последнее редактирование: 18.03.2016, 18:14:27 от SeBun » Записан
Филипп Сорокин
Живу я здесь
******

Репутация: +120/-3
Offline Offline

Пол: Мужской
Сообщений: 1449


« Ответ #11 : 18.03.2016, 18:15:04 »

Цитировать
У вас есть предложение получше?
Я не администратор. но я считаю, что ни администратор, ни хостер не должны ничего "запрещать и не пущать" из стандартного функционала. Вот, например, я сейчас тоже выпускаю плагин по мультивыводу изображений средствами Apache. А из-за того, что многие хостеры половину директив .htaccess просто по своей прихоти блокируют (например, Header set Cache-Control), я многое чего не могу сделать интересного.
« Последнее редактирование: 20.06.2016, 11:48:04 от Филипп Сорокин » Записан
SeBun
Практически профи
*******

Репутация: +134/-3
Offline Offline

Пол: Мужской
Сообщений: 2279



« Ответ #12 : 18.03.2016, 18:29:13 »

Вот и я смотрю на этот вопрос больше с позиции разработчика, чем администратора, но в то же время я уверен в компетентности winstrool, поэтому здесь придется искать компромисс между функциональностью и безопасностью. Либо пытаться фильтровать запросы, но здесь мне не хватает знаний о методах взлома путем использования этих функций. Некоторые известны, но не все.
Записан
flyingspook
Moderator
*****

Репутация: +226/-9
Offline Offline

Сообщений: 3529


« Ответ #13 : 18.03.2016, 18:40:08 »

flyingspook, а что, задавать вопросы околоджумловские на форуме нельзя? Вы уж просветите, а то у меня как раз по php storm много накопилось - а вдруг я задавать начну? А Вам не понравится? Ужас какой...
Думаю php storm будет в соответствующем разделе или во флейме. Или тоже в безопасность этот вопрос пойдет.
Записан
Страниц: [1]   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet