Het gevaar van de php exec functie?

Overzicht Reageren

Sponsored by: Vacatures door Monsterboard

Martin d

Martin d

03/05/2011 20:32:03
Quote Anchor link
Een vraagje...

Op onze site maken wij gebruik van de vBulletin forum software, met een aantal 3rd part software. Wij overwegen nu om deze plugindeze plugin aan te schaffen om onze bezoekers de mogelijkheid te bieden om filmpjes en foto's te uploaden.
Deze plugin maakt onder andere gebruik van de php exec functie. Onze huidige host, versio.nl activeert deze functie niet vanwege het veiligheidsrisico wat zei daarmee lopen.
Zelf ben ik geheel onbekend met deze functie, maar bij onze vorige host (HostGator) kon deze functie wél geactiveerd worden. Het betreft hier beide hostbedrijven om een shared hosting pakket.

Wat is precies het gevaar van deze exec functie?
Aangezien deze plugin een groot gedeelte van onze community vormt, overwegen wij anders om een ander hostingbedrijf op te zoeken die wél deze functie ondersteunt.
 
PHP hulp

PHP hulp

24/12/2024 14:56:36
 
Aad B

Aad B

03/05/2011 20:38:17
Quote Anchor link
via deze functie kunnen allerlei OS command-line statements worden uitgevoerd. Ik kan me voorstellen dat hosters dat weigeren.
 
Martin d

Martin d

03/05/2011 20:43:51
Quote Anchor link
Het verbaast mij wel dat de ene host dit wel accepteert, terwijl de ander dit weigert.
 
Ozzie PHP

Ozzie PHP

03/05/2011 21:04:08
Quote Anchor link
Het schijnt in ieder geval vaker voor te komen...

http://www.google.nl/search?q=php+exec+security
 
Kees Schepers

kees Schepers

03/05/2011 22:04:19
Quote Anchor link
Als ik jullie was, en je dit soort trucjes wilt uithalen is overstappen van hosting op VPS, wat vaak voor niet al teveel geld al mogelijk is. Je hebt dan voor een klein bedrag per maand/jaar al een eigen server waarbij je helemaal je gang kan gaan.

Ik kan het van hosters zeer goed begrijpen dat ze dit uitzetten omdat het erg gevaarlijk is. Echter als je rechten op apache user goed geconfigureerd dan kun je de veiligheidsrisico's goed beperken en bovendien moet je zeer voorzichtig zijn met het invoegen van dynamische (user-input) variabelen in commando's en moet je deze altijd escapen met escapeshellarg bijvoorbeeld.
 



Overzicht Reageren

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.