php Dateien können nicht per ftp geändert werden

Vielen, vielen Dank lieber d4f!

Also exec oder mod_perl brauchts nicht vorerst und wenn doch werde ich mich an mod_security erinnern, hoffentlich :-)

Nun habe ich in der vhost
Code: 
<Directory>
...
...
php_admin_value disable_functions exec,shell_exec,passthru,show_source,system,phpinfo,phpinfo,popen,proc_open
</Directory>

ergänzt. In einer phpinfo.php Seite sehe ich das auch diese Funktionen für local deaktiviert sind. Dennoch gibt mir folgende php Datei innerhalb des vhosts dann im Browser die Ausgabe der Datei!
Code: 
<?php
$var = shell_exec('cat /var/log/dpkg.log.1');
echo $var;
?>

Ja gibts denn das? Ich dürfte doch jetzt nichts sehen von dieser log Datei!
Wenn ich das jetzt noch geklärt bekomme bin ich happy für heut!
 
Hmm, in dem Punkt habe ich mich wohl geirrt - hab das spezifisch bislang das aber auch nie verwendet.
Nach PHP Bug 20689 welcher auf Status "wontfix" steht ist disable_functions aus Performance-Gründen nicht via php_admin_value möglich.

Es gibt aber eine Lösung für das Problem mittels Suhosin:
http://blog.jakgibb.com/2013/03/25/disabling-php-functions-on-a-per-virtual-host-basis/
Leider wird Suhosin nicht mehr aktiv weiterentwickelt (es gibt keine offizielle Versionen für PHP 5.4 oder PHP 5.5) weshalb bei aktuellen PHP-Versionen eventuell das Problem nicht so behoben werden kann.
 
ah okay. Wie du das alles findest... krass! Danke!
Ich habe nun einfach mal ein paar Funktionen in der globalen php.ini deaktiviert.
Code: 
disable_functions = exec,shell_exec,passthru,show_source,system,phpinfo,popen,proc_open

Mal sehen wann es erste Probleme gibt. Für Wordpress, ein Woltlab Forum oder das CMS contenido wird es sicher keine Probleme geben ohne diese Funktionen meine ich mal jetzt spontan.

Den safemode noch auf on zu setzen ist nicht mehr nötig denke ich...


Vielen Dank und frohes Schaffen noch,
stefkey
 
Für Wordpress, ein Woltlab Forum oder das CMS contenido wird es sicher keine Probleme geben ohne diese Funktionen meine ich mal jetzt spontan.
Click to expand...
Mir ist als verbreitetes CMS nur Typo3 bekannt welches auf Biegen und Brechen imagemagick verwenden will statt die PHP-Erweiterungen GD oder imagick zu verwenden. Um das zu lösen gibt es aber ein Typo3-Addon.

Den safemode noch auf on zu setzen ist nicht mehr nötig denke ich...
Click to expand...
Weder notwendig noch empfohlen. Ab PHP 5.4 steht er auch nicht mehr zur Verfügung. Bei einer sauberen Konfiguration deiner php.ini mit getrennten Ordner für Session/Temp je User (es ist übrigens empfehlenswert den Session-Pfad NICHT in open_basedir zu legen) sind die darin gesetzten Restriktionen aber auch nicht mehr relevant zumal du mpm_itk bereits einsetzt.
 
You must log in or register to reply here.
Back
Top