Какие функции PHP следует отключить? - Безопасность сайтов на Joomla

Один из провайдеров советует следующее:

Мы рекомендуем отключить следующие PHP функции: exec, system, passthru, readfile, shell_exec, escapeshellarg, escapeshellcmd, proc_close, proc_open, ini_alter, dl, popen, parse_ini_file, show_source, curl_exec, так как они чаще всего применяются во вредоностных скриптах.

Что скажете? Стоит ли в php.ini их отключать?

exec, passthru, escapeshellarg, escapeshellcmd, parse_ini_file, popen, curl_exec — функции используется в ядре, поэтому не могут быть отключены. readfile может потенциально использоваться в расширениях и в новых версиях платформы, впрочем, как и остальные функции.

Вашему провайдеру следовало бы не грузить пользователя ненужной информацией, которая, по их мнению, снизит риски для компании, а просто нормально работать.

exec, passthru, escapeshellarg, escapeshellcmd, parse_ini_file, popen, curl_exec — функции используется в ядре, поэтому не могут быть отключены. readfile может потенциально использоваться в расширениях и в новых версиях платформы, впрочем, как и остальные функции.

Вашему провайдеру следовало бы не грузить пользователя ненужной информацией, которая, по их мнению, снизит риски для компании, а просто нормально работать.

Вот это новости!!))) Как это не могут быть отключены?)) впервые слышу такое, все можно отключить, вот только то что может повлиять на работоспособность, каких либо модулей или расширений, если вы отключили какую либо функцию и она начинает мелькать в error_log, то посмотрите об ее актуальности.

На практике, отключал для последней версии Joomla такой набор:

pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,

exec,show_source,shell_exec,passthru,system,parse_ini_file,curl_multi_exec,curl_exec,symlink,popen,phpinfo,putenv,dl,

proc_close,proc_get_status,proc_nice,proc_open,proc_terminate,

posix_access,posix_ctermid,posix_get_last_error,posix_getcwd,posix_getegid,posix_geteuid,posix_getgid,posix_getgrgid,posix_getgrnam,posix_getgroups,posix_getlogin,posix_getpgid,posix_getpgrp,posix_getpid,posix_getppid,posix_getpwnam,posix_getpwuid,posix_getrlimit,posix_getsid,posix_getuid,posix_satty,posix_kill,posix_mkfifo,posix_mknod,posix_setegid,posix_seteuid,posix_setgid,posix_setpgid,posix_setsid,posix_setuid,posix_strerror,posix_tims,posix_ttyname,posix_uname

И все четко работает!

@winstrool
PHP полностью отключать не про бывали?
@2gorodabiz
У Вас второй топик и опять не о чем, это на форум админов серверов, к движку это отношение не имеет как и переводы к безопасности.

@winstrool
PHP полностью отключать не про бывали?

Это шутка, да?))

Это шутка, да?))

конечно, не было бы поста, написал бы топик старту отключить его 

flyingspook, а что, задавать вопросы околоджумловские на форуме нельзя? Вы уж просветите, а то у меня как раз по php storm много накопилось - а вдруг я задавать начну? А Вам не понравится? Ужас какой...

от это новости!!))) Как это не могут быть отключены?)) если вы отключили какую либо функцию и она начинает мелькать в error_log, то посмотрите об ее актуальности.

Фатальную ошибку получите на выходе. Какие логи? Эти функции использует Joomla!

Фатальную ошибку получите на выходе. Какие логи? Эти функции использует Joomla!

Вот почитайте библиотеки, а потом попробуйте ответить, зачем Joomla лезть в систему? когда она предназначена для веба... Эти функции предназначены по большей части для администрирование каких то системных моментов, например из центральной панели хостинга, но ни как не из админки Joomla, если вам нужны такие функции из админки, то тут в принципе можно идти из раздела безопасности.

http://php.net/manual/ru/ref.exec.php - функции запуска программ
http://php.net/manual/ru/book.posix.php - расширение для управления процессами программ
http://php.net/manual/ru/book.pcntl.php

P.S: Мог бы с десяток сайтов показть которые работают на Joomla с этими отключенными функциями, да не вижу смысла, да и клиентов не к чему светить!

Вот почитайте библиотеки, а потом попробуйте ответить, зачем Joomla лезть в систему?

А вы загляните в исходный код Joomla! и всё сами узнаете.

А вы загляните в исходный код Joomla! и всё сами узнаете.

У вас есть предложение получше? Поскольку как раз разрабатываю приложение, связанное с безопасностью, было бы интересно услышать ваше мнение по обеспечению защиты сайта на Joomla со всеми включенными (и используемыми ей) функциями, через которые можно произвести взлом.

P.S. Прошу воспринимать не как сарказм в адрес Сорокина, а как возможную их фильтрацию, т.к. не у всех есть доступ в php.ini.

У вас есть предложение получше?

Я не администратор. но я считаю, что ни администратор, ни хостер не должны ничего "запрещать и не пущать" из стандартного функционала. Вот, например, я сейчас тоже выпускаю плагин по мультивыводу изображений средствами Apache. А из-за того, что многие хостеры половину директив .htaccess просто по своей прихоти блокируют (например, Header set Cache-Control), я многое чего не могу сделать интересного.

Вот и я смотрю на этот вопрос больше с позиции разработчика, чем администратора, но в то же время я уверен в компетентности winstrool, поэтому здесь придется искать компромисс между функциональностью и безопасностью. Либо пытаться фильтровать запросы, но здесь мне не хватает знаний о методах взлома путем использования этих функций. Некоторые известны, но не все.

flyingspook, а что, задавать вопросы околоджумловские на форуме нельзя? Вы уж просветите, а то у меня как раз по php storm много накопилось - а вдруг я задавать начну? А Вам не понравится? Ужас какой...

Думаю php storm будет в соответствующем разделе или во флейме. Или тоже в безопасность этот вопрос пойдет.

Вашему провайдеру следовало бы не грузить пользователя ненужной информацией, которая, по их мнению, снизит риски для компании, а просто нормально работать.

Ну, это советуют не только хостеры, но и другие движки. Например в админке движка Invision Community постоянно висит огромная плашка с рекомендацией отключить функции exec, system, popen, proc_open, shell_exec. Собственно поэтому и оказался в данной теме, когда искал как отключение этих функций может повлиять на Joomla.

Более того, сейчас увидел, что и на сайте Joomla в документации это тоже написано:

Use PHP disable_functions
Use disable_functions to disable dangerous PHP functions that are not needed by your site. Here is a typical setup for a Joomla! site:

Поддержу winstrool, если есть возможность ограничить небезопасные функции, то это стоит сделать. Разработчики обходятся без них, а вот для вирусов это раздолье.мой список небезопасных функций для отключения в php.ini

Поддержу winstrool, если есть возможность ограничить небезопасные функции, то это стоит сделать. Разработчики обходятся без них, а вот для вирусов это раздолье.мой список небезопасных функций для отключения в php.ini

Довольно токи дельная статейка! добавте в нее еще возможность задавать папку tmp для сессий, так как из общей папки /tmp ее можно угнать.