0
<< предыдущая заметкаследующая заметка >>
10 января 2011
Пездец -rw-r--r--

Ставили тут Юстасу движок, страху натерпелись, пока разобрались...

Ну, во-первых, тамошний хостинг вешался глухо, увидев в .htaccess безобидные строчки:
php_flag session.use_trans_sid off
php_flag session.use_cookies on

Ладно, удалили строчки.

Потом начался другой цирк. Известно, что некоторые хостинги не исполняют файлы, потому что по умолчанию у них не те права. При этом владелец-скрипт PHP может писать файлы, которые не сможет прочесть простой посетитель, потому что скрипт php — это один владелец, а WWW — другой, а файлы залитые по ftp — вообще владелец ftp. Я встречал и такое. Поэтому движок при записи файла поправляет права на 666 -rw-rw-rw-

Но хостинг Юстаса по параноидальности превзошел всех: там НЕ ИСПОЛНЯЮТСЯ файлы, для которых разрешена запись группы. То есть, после установки движка пришлось вручную править 666 на 644 -rw-r--r-- ! А на папки, соответственно, -rwxr-xr-x. При этом хостинг не волнует, какие PHP делает include — речь только о файле обращения. А это index.php, все аяксу и т.п.

Но и это не предел! Как известно, PHP имеет библиотеку работы с графикой GD, которая записывает картинки функцией imagejpeg(); Ну вот скажите, кому бы в голову могло прийти, что эта функция в той конфигурации сервера пишет на диск картинку, которую будет невозможно открыть браузером, потому что атрибуты у нее -rw


? Это что, я должен бегать даже за всеми функциями PHP и везде проставлять после них атрибуты?

И что самое интересное — эта серверная паранойя никогда еще никого не спасала от взлома. Потому что если взломщику удалось через баги программиста записать что-то на диск — то он найдет способ и права изменить. А скорее всего просто пароль от ftp взломщик угонит.

<< предыдущая заметка следующая заметка >>
пожаловаться на эту публикацию администрации портала
архив понравившихся мне ссылок
Оставить комментарий


Include not found: `/home/www/lleo.me/blog/template/_reklamnaya_lirica.htm`