From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <av1046@comtv.ru>
From: Mikhail Zabaluev <mhz@alt-linux.org>
To: mandrake-russian@altlinux.ru
Subject: Re: [mdk-re] LRN & database.inc
Message-ID: <20010523235400.E1583@localhost.localdomain>
Mail-Followup-To: Mikhail Zabaluev <mhz@alt-linux.org>,
	mandrake-russian@altlinux.ru
References: <20010516130020.324ad571.vyt@vzljot.ru> <3B0AF6F9.6080607@altlinux.ru> <20010523115755.B3155@localhost.localdomain> <00b801c0e374$7ce22200$4201a8c0@muc.beamgate.de>
Mime-Version: 1.0
Content-Type: text/plain; charset=koi8-r
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
User-Agent: Mutt/1.2.5i
In-Reply-To: <00b801c0e374$7ce22200$4201a8c0@muc.beamgate.de>; from vlad@na.ru on Wed, May 23, 2001 at 12:37:47PM +0200
Sender: mandrake-russian-admin@altlinux.ru
Errors-To: mandrake-russian-admin@altlinux.ru
X-BeenThere: mandrake-russian@altlinux.ru
X-Mailman-Version: 2.0
Precedence: bulk
Reply-To: mandrake-russian@altlinux.ru
List-Help: <mailto:mandrake-russian-request@altlinux.ru?subject=help>
List-Post: <mailto:mandrake-russian@altlinux.ru>
List-Subscribe: <http://altlinux.ru/mailman/listinfo/mandrake-russian>,
	<mailto:mandrake-russian-request@altlinux.ru?subject=subscribe>
List-Id: Linux-Mandrake RE / ALT Linux discussion list <mandrake-russian.altlinux.ru>
List-Unsubscribe: <http://altlinux.ru/mailman/listinfo/mandrake-russian>,
	<mailto:mandrake-russian-request@altlinux.ru?subject=unsubscribe>
List-Archive: <http://altlinux.ru/pipermail/mandrake-russian/>
Date: Wed May 23 23:38:01 2001
X-Original-Date: Wed, 23 May 2001 23:54:00 +0400
Archived-At: <http://lore.altlinux.org/community/20010523235400.E1583@localhost.localdomain/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

Hello Vlad,

On Wed, May 23, 2001 at 12:37:47PM +0200, Vlad Vostrykh wrote:
>
> > Можно и, наверное, даже нужно задать для PHP параметр open_basedir,
> > где перечислить безопасный набор каталогов, в которых скрипты могут
> > открывать файлы. Это, насколько я знаю, влияет и на require/include, и
> > на exec и пр. Указание "." будет открывать для каждого скрипта его
> > каталог. А в отдельных сайтах open_basedir можно расширять по вкусу.
> Интересное решение :)
> Но при этом люди не смогут свои параметры для PHP задавать, что иногда
> бывает необходимо.
> (А если смогут, то кто им помешает open_basedir прописать до вашего файла с
> паролями? :))
> В общем, аккуратно надо :)

Угу. Options None. Все пожелания пользователей - через администратора и с
приложенным пивом :) Иначе - анархия и вседозволенность.

> Для случая с пользовательскими каталогами (http://server/~username) стоит
> также посмотреть на параметр user_dir
> 
> > Пользовательские CGI _нужно_ запускать через suexec.
> > Так что проблема решаема хотя бы теоретически.
> _Теоретически_ проблема решается, насколько я понимаю, с приходом Apache 2
> А практически (как вариант) -- запуском для каждого сервера своей копии
> апача с отдельным User userId (необходимо, конечно, по отдельному ip и/или
> порту для сайта)

Тоже вариант. Так и до colocation недалеко.

-- 
Stay tuned,
  MhZ                                     JID: mookid@jabber.org
___________
There's always free cheese in a mousetrap.