پاسخ : نقش Safe Mode در امنیت چیست؟
با تشکر از شما،نوشته اصلی توسط nginxweb
در تکمیل صحبت های دوست و همکار بزرگوار اینو اضافه کنم که از نسخه 5.3 به بعد این قابلیت با مشکلات زیادی روبرو شد و از 5.4 کاملا حذف گردید
This feature has been DEPRECATED as of PHP 5.3.0 and REMOVED as of PHP 5.4.0.
قابلیت مفیدی بود مخصوصا در جلوگیری از اجرای شل ها و اکثر شل ها با کانفیگ php - cgi -python ,تنظیم صحیح mod_security و safe mode با ارور یا صفحه سفید مواجه میشدند و از نظر امنیت مفید بود
اما بدلیل ناسازگاری های زیادی که در خیلی اسکریپت ها اینجاد کرده بود مخصوصا در مورد مشکلی مانند E_DEPRECATED errors که در اسکریپت های زیادی مانند nuke -presta shop و.. زیاد مشاهده میشد از نسخه 5.3 به بعد حدف گردید که البته یک جوایی کار مدیران سرور را برای تامین امنیت سرورهایشات سخت تر کرد.
لازم به ذکر هستش نسخه 5.2 php بطور نرمال دیگر از سی پنل نصب و پشتیبانی نمیشود.
ارادت
با توجه به معماری اینترپرتر پیاچپی، امکان برقراری امنیت از طریق safe_mode وجود نداره و شما هر کاری که بدون safemode میتونید انجام بدید، با safemode هم میتونید!! ( برای کسب اطلاعات پیشنهاد میکنم اکسپلویت CVE-2009-4018 رو مطالعه بفرمایید.)
دلیل حذف این قابلیت از نسخههای جدید هم همین هست. در واقع نه تنها این قابلیت فایدهای نداشت، بلکه در بسیاری از موارد خیالِ مدیرسرورهای مبتدی رو راحت میکرد و باعث بروز مشکلات میشد. وارد بحثهای تخصصی نمیشم، اما نظر فنی، این امکان واقعا وجود نداره.
در کل این قابلیت رو میشه با چند fopen و ... ساده کاملا دور زد. همونطور که بینهایت safe_mode bypasser در دسترس هست و همشون هم به خوبی جواب میدن.
هرگز این قابلیت توسط منابع علمی موثق پیشنهاد نشده. برای مثال:
safe_mode - MediaWiki
What is PHP Safe Mode?PHP's safe_mode is an ill-conceived, broken-by-design setting in PHP that is supposed to make broken scripts safe.
ارادتمند.
- - - Updated - - -
اگر وب سرورتون apache باشه میتونید از طریق virtualhost برای دایرکتوری خاصی این امکان رو فراهم کنید.
پاسخ با نقل قول