nekte bruk av 'pwd'

[[PaaL]]

Hepp!

 

Jeg har satt opp Invision Filemanager og har gitt noen venner webplass. Siden de kun får kontrollpanel til å uploade filer på, har apache rettighetene til alle kataloger, men da er det mulig å skrive/haxe også, gjerne i andres kataloger, om man bruker php...

 

Men hvis brukere ikke får bruker 'pwd' i et php skript:

 

<?php 
$pwd = `pwd`; 
  echo $pwd;  
?>

 

kan de ikke se hvor de er, og ikke kan de haxe noe da... (tror jeg? har ikke helt roen på dette....). SÅ! hvordan kan jeg ungå dette?

 

Har fått et par tips rundt om kring, f.eks:

 

(httpd.conf)
<Directory "/bane/til/brukere/">
   <IfModule mod_php4.c>
    php_admin_flag disable_function "getcwd;phpinfo;exec;system;passthru;shell_exec"
   </IfModule>
</Directory>

 

men får ikke noe til å virke, og vil ikke nekte bruk av php...

 

Noen som har noen tips?

[Langbein]

' date='15/02/2004 : 00:03'] kan de ikke se hvor de er, og ikke kan de haxe noe da... (tror jeg? har ikke helt roen på dette....). SÅ! hvordan kan jeg ungå dette?

Vel, de kan jo aksessere filer med absolutt filbane.

 

Dette er min subjektive mening, men personlig syns jeg det er ekstremt tungvint å lage hjemmeside gjennom et slikt web-grensesnitt. FTP er absolutt å foretrekke. Det burde ikke være noen stor sikkerhetsrisiko å sette opp FTP, da man enkelt kan begrense brukerne til sine hjemmeområder. PHP er en langt større trussel mot sikkerheten. Men som sagt, dette er min mening - sikkert noen som liker sånne web-grensesnitt også...

[[PaaL]]

Pleier å gi ftp til folk, men holder på med dette for jeg ikke har noe bedre å gjøre på