Какие функции PHP следует отключить?

0 Пользователей и 1 Гость просматривают эту тему.
  • 13 Ответов
  • 902 Просмотров
*

2gorodabiz

  • Осваиваюсь на форуме
  • ***
  • 97
  • 5
Один из провайдеров советует следующее:
Цитировать
Мы рекомендуем отключить следующие PHP функции: exec, system, passthru, readfile, shell_exec, escapeshellarg, escapeshellcmd, proc_close, proc_open, ini_alter, dl, popen, parse_ini_file, show_source, curl_exec, так как они чаще всего применяются во вредоностных скриптах.

Что скажете? Стоит ли в php.ini их отключать?
Хостинг и облачные решения — <a href="http://active.by/index?p=PBNI10M9N">Active Technologies</a>

*

Филипп Сорокин

  • Практически профи
  • *******
  • 1781
  • 135
exec, passthru, escapeshellarg, escapeshellcmd, parse_ini_file, popen, curl_exec — функции используется в ядре, поэтому не могут быть отключены. readfile может потенциально использоваться в расширениях и в новых версиях платформы, впрочем, как и остальные функции.

Вашему провайдеру следовало бы не грузить пользователя ненужной информацией, которая, по их мнению, снизит риски для компании, а просто нормально работать.
Ставь лайк, если согласен, и делай репост!

  => мои публикации
    => мои работы
      => спектр моих услуг

*

winstrool

  • Завсегдатай
  • *****
  • 758
  • 39
  • Свободен для работы
exec, passthru, escapeshellarg, escapeshellcmd, parse_ini_file, popen, curl_exec — функции используется в ядре, поэтому не могут быть отключены. readfile может потенциально использоваться в расширениях и в новых версиях платформы, впрочем, как и остальные функции.

Вашему провайдеру следовало бы не грузить пользователя ненужной информацией, которая, по их мнению, снизит риски для компании, а просто нормально работать.
Вот это новости!!))) Как это не могут быть отключены?)) впервые слышу такое, все можно отключить, вот только то что может повлиять на работоспособность, каких либо модулей или расширений, если вы отключили какую либо функцию и она начинает мелькать в error_log, то посмотрите об ее актуальности.

На практике, отключал для последней версии Joomla такой набор:
Цитировать
pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,

exec,show_source,shell_exec,passthru,system,parse_ini_file,curl_multi_exec,curl_exec,symlink,popen,phpinfo,putenv,dl,

proc_close,proc_get_status,proc_nice,proc_open,proc_terminate,

posix_access,posix_ctermid,posix_get_last_error,posix_getcwd,posix_getegid,posix_geteuid,posix_getgid,posix_getgrgid,posix_getgrnam,posix_getgroups,posix_getlogin,posix_getpgid,posix_getpgrp,posix_getpid,posix_getppid,posix_getpwnam,posix_getpwuid,posix_getrlimit,posix_getsid,posix_getuid,posix_satty,posix_kill,posix_mkfifo,posix_mknod,posix_setegid,posix_seteuid,posix_setgid,posix_setpgid,posix_setsid,posix_setuid,posix_strerror,posix_tims,posix_ttyname,posix_uname



И все четко работает!
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям

*

flyingspook

  • Moderator
  • *****
  • 3610
  • 236
@winstrool
PHP полностью отключать не про бывали?
@2gorodabiz
У Вас второй топик и опять не о чем, это на форум админов серверов, к движку это отношение не имеет как и переводы к безопасности.

*

winstrool

  • Завсегдатай
  • *****
  • 758
  • 39
  • Свободен для работы
@winstrool
PHP полностью отключать не про бывали?
Это шутка, да?))
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям

*

flyingspook

  • Moderator
  • *****
  • 3610
  • 236
Это шутка, да?))
;) конечно, не было бы поста, написал бы топик старту отключить его  :laugh:

*

Taatshi

  • Support Team
  • *****
  • 4782
  • 452
flyingspook, а что, задавать вопросы околоджумловские на форуме нельзя? Вы уж просветите, а то у меня как раз по php storm много накопилось - а вдруг я задавать начну? А Вам не понравится? Ужас какой...
ВЕРСТКА, САЙТЫ ПОД КЛЮЧ, УДАЛЕНИЕ ВИРУСОВ, МИГРАЦИЯ НА JOOMLA 3  /  ОТЗЫВЫ 
Минимальная ставка за платные услуги 1000 рэ Связь: telegram - Taatshi, почта - Taatshi на яндексе.

*

Филипп Сорокин

  • Практически профи
  • *******
  • 1781
  • 135
Цитировать
от это новости!!))) Как это не могут быть отключены?)) если вы отключили какую либо функцию и она начинает мелькать в error_log, то посмотрите об ее актуальности.
Фатальную ошибку получите на выходе. Какие логи? Эти функции использует Joomla!
Ставь лайк, если согласен, и делай репост!

  => мои публикации
    => мои работы
      => спектр моих услуг

*

winstrool

  • Завсегдатай
  • *****
  • 758
  • 39
  • Свободен для работы
Фатальную ошибку получите на выходе. Какие логи? Эти функции использует Joomla!
Вот почитайте библиотеки, а потом попробуйте ответить, зачем Joomla лезть в систему? когда она предназначена для веба... Эти функции предназначены по большей части для администрирование каких то системных моментов, например из центральной панели хостинга, но ни как не из админки Joomla, если вам нужны такие функции из админки, то тут в принципе можно идти из раздела безопасности.

http://php.net/manual/ru/ref.exec.php - функции запуска программ
http://php.net/manual/ru/book.posix.php - расширение для управления процессами программ
http://php.net/manual/ru/book.pcntl.php

P.S: Мог бы с десяток сайтов показть которые работают на Joomla с этими отключенными функциями, да не вижу смысла, да и клиентов не к чему светить!
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям

*

Филипп Сорокин

  • Практически профи
  • *******
  • 1781
  • 135
Цитировать
Вот почитайте библиотеки, а потом попробуйте ответить, зачем Joomla лезть в систему?
А вы загляните в исходный код Joomla! и всё сами узнаете.
Ставь лайк, если согласен, и делай репост!

  => мои публикации
    => мои работы
      => спектр моих услуг

*

SeBun

  • Практически профи
  • *******
  • 3078
  • 186
  • @SeBun48
Re: Какие функции PHP следует отключить?
« Ответ #10 : 18.03.2016, 19:10:36 »
А вы загляните в исходный код Joomla! и всё сами узнаете.
У вас есть предложение получше? Поскольку как раз разрабатываю приложение, связанное с безопасностью, было бы интересно услышать ваше мнение по обеспечению защиты сайта на Joomla со всеми включенными (и используемыми ей) функциями, через которые можно произвести взлом.

P.S. Прошу воспринимать не как сарказм в адрес Сорокина, а как возможную их фильтрацию, т.к. не у всех есть доступ в php.ini.
« Последнее редактирование: 18.03.2016, 19:14:27 от SeBun »
Оказываю услуги по Joomla | Миграция на Joomla 3.x | Администрирование | Разработка
Ник занят

*

Филипп Сорокин

  • Практически профи
  • *******
  • 1781
  • 135
Re: Какие функции PHP следует отключить?
« Ответ #11 : 18.03.2016, 19:15:04 »
Цитировать
У вас есть предложение получше?
Я не администратор. но я считаю, что ни администратор, ни хостер не должны ничего "запрещать и не пущать" из стандартного функционала. Вот, например, я сейчас тоже выпускаю плагин по мультивыводу изображений средствами Apache. А из-за того, что многие хостеры половину директив .htaccess просто по своей прихоти блокируют (например, Header set Cache-Control), я многое чего не могу сделать интересного.
« Последнее редактирование: 20.06.2016, 12:48:04 от Филипп Сорокин »
Ставь лайк, если согласен, и делай репост!

  => мои публикации
    => мои работы
      => спектр моих услуг

*

SeBun

  • Практически профи
  • *******
  • 3078
  • 186
  • @SeBun48
Re: Какие функции PHP следует отключить?
« Ответ #12 : 18.03.2016, 19:29:13 »
Вот и я смотрю на этот вопрос больше с позиции разработчика, чем администратора, но в то же время я уверен в компетентности winstrool, поэтому здесь придется искать компромисс между функциональностью и безопасностью. Либо пытаться фильтровать запросы, но здесь мне не хватает знаний о методах взлома путем использования этих функций. Некоторые известны, но не все.
Оказываю услуги по Joomla | Миграция на Joomla 3.x | Администрирование | Разработка
Ник занят

*

flyingspook

  • Moderator
  • *****
  • 3610
  • 236
Re: Какие функции PHP следует отключить?
« Ответ #13 : 18.03.2016, 19:40:08 »
flyingspook, а что, задавать вопросы околоджумловские на форуме нельзя? Вы уж просветите, а то у меня как раз по php storm много накопилось - а вдруг я задавать начну? А Вам не понравится? Ужас какой...
Думаю php storm будет в соответствующем разделе или во флейме. Или тоже в безопасность этот вопрос пойдет.