Het gevaar van de php exec functie?
Martin d
03/05/2011 20:32:03Een vraagje...
Op onze site maken wij gebruik van de vBulletin forum software, met een aantal 3rd part software. Wij overwegen nu om deze plugindeze plugin aan te schaffen om onze bezoekers de mogelijkheid te bieden om filmpjes en foto's te uploaden.
Deze plugin maakt onder andere gebruik van de php exec functie. Onze huidige host, versio.nl activeert deze functie niet vanwege het veiligheidsrisico wat zei daarmee lopen.
Zelf ben ik geheel onbekend met deze functie, maar bij onze vorige host (HostGator) kon deze functie wél geactiveerd worden. Het betreft hier beide hostbedrijven om een shared hosting pakket.
Wat is precies het gevaar van deze exec functie?
Aangezien deze plugin een groot gedeelte van onze community vormt, overwegen wij anders om een ander hostingbedrijf op te zoeken die wél deze functie ondersteunt.
Op onze site maken wij gebruik van de vBulletin forum software, met een aantal 3rd part software. Wij overwegen nu om deze plugindeze plugin aan te schaffen om onze bezoekers de mogelijkheid te bieden om filmpjes en foto's te uploaden.
Deze plugin maakt onder andere gebruik van de php exec functie. Onze huidige host, versio.nl activeert deze functie niet vanwege het veiligheidsrisico wat zei daarmee lopen.
Zelf ben ik geheel onbekend met deze functie, maar bij onze vorige host (HostGator) kon deze functie wél geactiveerd worden. Het betreft hier beide hostbedrijven om een shared hosting pakket.
Wat is precies het gevaar van deze exec functie?
Aangezien deze plugin een groot gedeelte van onze community vormt, overwegen wij anders om een ander hostingbedrijf op te zoeken die wél deze functie ondersteunt.
PHP hulp
24/12/2024 14:56:36Aad B
03/05/2011 20:38:17via deze functie kunnen allerlei OS command-line statements worden uitgevoerd. Ik kan me voorstellen dat hosters dat weigeren.
Martin d
03/05/2011 20:43:51Ozzie PHP
03/05/2011 21:04:08kees Schepers
03/05/2011 22:04:19Als ik jullie was, en je dit soort trucjes wilt uithalen is overstappen van hosting op VPS, wat vaak voor niet al teveel geld al mogelijk is. Je hebt dan voor een klein bedrag per maand/jaar al een eigen server waarbij je helemaal je gang kan gaan.
Ik kan het van hosters zeer goed begrijpen dat ze dit uitzetten omdat het erg gevaarlijk is. Echter als je rechten op apache user goed geconfigureerd dan kun je de veiligheidsrisico's goed beperken en bovendien moet je zeer voorzichtig zijn met het invoegen van dynamische (user-input) variabelen in commando's en moet je deze altijd escapen met escapeshellarg bijvoorbeeld.
Ik kan het van hosters zeer goed begrijpen dat ze dit uitzetten omdat het erg gevaarlijk is. Echter als je rechten op apache user goed geconfigureerd dan kun je de veiligheidsrisico's goed beperken en bovendien moet je zeer voorzichtig zijn met het invoegen van dynamische (user-input) variabelen in commando's en moet je deze altijd escapen met escapeshellarg bijvoorbeeld.