Sécurité Apache 2.0 & PHP 5.1.6 Fermé

Question

Bonsoir le forum !!

Voila, j'ai une question a laquelle je ne trouve pas réponse dans les forums existants, ni via mon éternel ami google...

J'ai installé sur un système XP pro : 
 - Serveur Apache 2.0.x
 - PHP 5.1.6
 - MySQL 5
 - phpmyadmin

Tout fonctionne a merveille (après quelques nuits blanches !...). Le PHP permet d'envoyer des commandes DOS a la machine qui héberge, par le biais de la fonction exec( );

Le problème qui me trotte est le suivant : ou s'arrete les droits de cette fonction ???

C'est à dire que, si je met dans un script PHP la commande exec("del *.*"); => Ca lance l'action de supprimer ??

Les droits sont - ils limités au droit de la session lancé sur la machine ?

Merci d'avance pour vos réponses :)

Cordialement

boss0211 · Answer

Je ne suis pas un expère en la matière met je pence que la personne ayant PARAMETRE le serveur a mis des limites car sinon c'est le suicide pour le PC!

Bat-Dan · Answer

boss0211, tu n'es pas non plus expert en othographe :)
(désolé si je suis taquin)

La danger des scripts php c'est qu'il n'y a pas (beaucoup) de limites. Donc si tu fais exec("del *.*"); ça supprimera tous les fichiers qui sont dans le dossier d'éxécution de ton script. Si tu lui fais exec("echo O|format C: /Q"); c'est balo :p

D'où l'interêt de ne pas permettre à n'importe-qui d'accéder aux scripts PHP et de bien configurer php.ini et httpd.conf pour limiter au maximum les risques dé débordements

PS : désolé de faire remonter un post vieux de 1 an, mais comme il n'y avait pas de réponse, maintenant c'est fait

Sécurité Apache 2.0 & PHP 5.1.6

2 réponses

Discussions similaires