Inc Skrevet 7. februar 2006 Del Skrevet 7. februar 2006 (endret) Jeg fant denne siden og de skriver We are still considering this. However, allowing PHP/MySQL opens up a myriad of opportunties for hackers to exploit our system.. Hvorfor skriver de det? Endret 7. februar 2006 av regga Lenke til kommentar
saivert Skrevet 7. februar 2006 Del Skrevet 7. februar 2006 (endret) PHP er ikke mer eller mindre sikkert enn andre skriptspråk. PHP har faktisk et par konfigurasjonsinnstillinger for å gjøre det sikkert (som Auto globals, Safe mode og open basedir restriction). I første omgang er det koden du selv skriver som bør sjekkes for sikkerhetshull. Feil i PHP funksjonene kommer i annen rekke. Les igjennom dette forumet. Søk litt rundt og du vil finne en masse info om hvordan sikre skriptet ditt. Det faktum at 0moola ikke ønsker å tilby PHP og MySQL for sine brukere er at dette som de sier åpner opp systemet og kan kompromitere alt i verste tilfelle. Dette er faktisk sant. Det å drifte et webhotell hvor hundrevis (kansje tusenvis) av brukere deler på samme server er en meget tung oppgave i seg selv når man ikke har med PHP å gjøre. Hvis du f.eks for lov til å kjøre PHP skript på din konto kan du skrive et PHP skript som leser filer i andre brukeres mapper. Det finnes måter å isolere hver bruker (google: chroot), men dette krever god planlegging og 0moola ønsker nok derfor ikke å begi seg utpå det her av økonomiske eller ressursmessige grunner. Vet ikke om dere husker www.heiatufte.no som drev webhotell i en kortvarig periode. Grunnen til at det ble kortvarig var at jeg som bruker av tjenesten fant sikkerthetshull. Jeg kjørte et enkelt PHP skript som listet opp innholdet i mapper overalt. Jeg fortalte eieren av webhotellet om sikkerhetsrisikoen og hele webhotellvirksomheten ble avviklet. www.heiatufte.no tilbyr nå kun eposttjenester. Les artikkelen som stod på gamle heiatufte siden: http://blorp.no-ip.com:380/index.php?path=...ht-artikkel.gif edit: trykkleif drept! Endret 7. februar 2006 av saivert Lenke til kommentar
Inc Skrevet 7. februar 2006 Forfatter Del Skrevet 7. februar 2006 Spennende . Hvis du sikrer ditt eget php script som er vertet hos en som ikke bruker (google: chroot), som du nevnte, så er du likevel sikker? Ja, jeg har så vidt begynt å lese og søke Lenke til kommentar
NH Skrevet 7. februar 2006 Del Skrevet 7. februar 2006 I din quote er det hovedsakelig snakk om sqlinjections(google it) dette kommer i alle web scripts som php .net perls etc som jobber opp mot en database og tarimot input fra klient (som liginnavn, ny post i gjestebok etc..) Lenke til kommentar
|FSK| Skrevet 9. februar 2006 Del Skrevet 9. februar 2006 Et argument for at bruk av php er mer utsatt, kan vel være at det er veldig vanlig, selv for helt ferske, å legge ut arbeidet offentlig. Selvfølgelig er det mange som holder på med c/c++ osv, men langt ifra alle legger det ut. Dette gjør folk med php, og de bør vite hva de driver med når det blir en litt kompleks kode, hvis ikke kan et sikkerhetshull dukke opp. Lenke til kommentar
Torbjørn Skrevet 9. februar 2006 Del Skrevet 9. februar 2006 PHP er ikke mer eller mindre sikkert enn andre skriptspråk. stiler meg kategorisk uenig til denne påstanden men synes ellers det sto mye bra der. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå