Ubuntu-fr

vincent-avct

bloquer des fonctions php depuis php.ini ou sites-available

bonjour,

j'ai identifié quelques fonctions php utilisées pour des attaques.
est-il possible de les bloquer via le fichier php.ini
ou les déclarations de domaine via les fichiers sites-available

merci et j'en profite pour souhaiter que du bonheur
à tous ceux qui liront ce message

J5012

Re : bloquer des fonctions php depuis php.ini ou sites-available

lesquelles ?

vincent-avct

Re : bloquer des fonctions php depuis php.ini ou sites-available

il y a show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open
merci

J5012

Re : bloquer des fonctions php depuis php.ini ou sites-available

ce sont des fonctionnalites legitimes
si tu ne veux pas que ces fonctions servent, le plus simple est de ne pas les utiliser ... et si tu donnes la possibilité d'une entree formulaire, tu dois toujours coder l'echappement du resultat du formulaire : le simple procede d'echappement empeche les injections de codes !

bobe

Re : bloquer des fonctions php depuis php.ini ou sites-available

Il a peut-être posé la question d'un point de vue hébergeur...

Il y a la directive 'disable_functions' de php, configurable dans le php.ini

vincent-avct

Re : bloquer des fonctions php depuis php.ini ou sites-available

@j5012 je me renseigne sur l'échappement mais il s'agit de cms, je pense donc que c'est pris en charge... quoi que (problème avec joomla principalement) ?!
@bobe effectivement je regardais de ce coté et safe mode.
merci à vous deux

bobe

Re : bloquer des fonctions php depuis php.ini ou sites-available

le safe mode n'existe plus depuis php 5.4 donc à oublier.

vincent-avct

Re : bloquer des fonctions php depuis php.ini ou sites-available

je pensais à safe_mode_gid et safe_mode_include_dir