سوال در مورد Check php for ini_set disabled در فایروال csf

[InterServer.ir]

دوست عزیز ممنون از اینکه ما رو از این روش ByPass که میگید با خبر کردید اما بنده تحقیق کردم فهمیدم php به صورت پیش فرض برای هر مقدارش در فایل php.ini سطح دسترسی با یکی از مقادیر زیر داره:

PHP_INI_USER مقداری که قابل تغییر توسط یوزر است.
PHP_INI_PERDIR = مقداری که قابل تغییر در php.ini و htaccess. و httpd.conf است.
PHP_INI_SYSTEM = مقداری که فقط از طریق php.ini یا httpd.conf قابل تغییر است.
PHP_INI_ALL = مقداری که از همه طریق قابل تغییر است.

که سطح دسترسی مقدار disable_functions به صورت پیش فرض روی PHP_INI_SYSTEM است و فقط از طریق سیستم قابل تغییر است نه از طریق یوزر و تابع ini_set.

حتی تست هم کردم من تابع ini_set در سرورم باز است خواستم با کد زیر مقدار disable_functions رو ByPass کنم و تابع system رو اجرا کنم اما همچنان با اخطار بسته بودن تابع system مواجه شدم:
Warning: system() has been disabled for security reasons

کد:

<?php
ini_set('disable_functions', '');
system('ls', $retval);

من هرگز قصد اشتباه نشون دادن پست شما رو ندارم حتی تشکر هم کردم چون چیز جدید یاد گرفتم اما خواستم برای همه دوستان شفاف سازی بشه.

منابع تحقیق:
https://www.sitepoint.com/community/...h-ini-set/1628
http://stackoverflow.com/questions/1...ns-not-working

- - - Updated - - -

راستی قابلیت Safe Mode خیلی وقته از نسخه 5.4 حذف شده و دیگه هرگز ادامه داده نمیشه.
http://php.net/manual/en/features.safe-mode.php

روی شل های زیادی دیدم از این دستور برای بایپس استفاده کردند ولی رو این مسئله که کار می کنه یا نه حقیقتش تحقیق نکردم و تست نکردم .

بله safe mode حذف شده ولی با تغییر نسخه php میشه از اون استفاده کرد میشه گفت امنیت بالاتری برای کسانی که زیاد به کانفیگ php وارد نیستن ایجاد می کنه. خودم هنوز از 5.3 استفاده می کنم ولی ازsafe mode حدود 3 ساله رو هاستینگم استفاده نکردم چون امنیت رو با موارد دیگر تامین کردم.

[davood_71]

روی شل های زیادی دیدم از این دستور برای بایپس استفاده کردند ولی رو این مسئله که کار می کنه یا نه حقیقتش تحقیق نکردم و تست نکردم .

بله safe mode حذف شده ولی با تغییر نسخه php میشه از اون استفاده کرد میشه گفت امنیت بالاتری برای کسانی که زیاد به کانفیگ php وارد نیستن ایجاد می کنه. خودم هنوز از 5.3 استفاده می کنم ولی ازsafe mode حدود 3 ساله رو هاستینگم استفاده نکردم چون امنیت رو با موارد دیگر تامین کردم.

یکی کمک کنه تورخدا
من ini_set رو توی disable_function قرار بدم؟ امنیت بالا تر میره یا ضعف امنیتی ایجاد میشه؟

[iHSG]

یکی کمک کنه تورخدا
من ini_set رو توی disable_function قرار بدم؟ امنیت بالا تر میره یا ضعف امنیتی ایجاد میشه؟

دوست عزیز اگر پست ها رو با دقت مطالعه کنید به نتیجه میرسید.
غیرفعال کردن تابع ini_set باعث افزایش امنیت نسبی میشه اما در بعضی اسکریپت های معروف به این تابع نیاز هست و اگر استفاده شما هاستینگ و میزبانی اشتراکی است ممکنه برای کاربر هاتون مشکلاتی پیش بیاد.

ببینید خود فایروال CSF چی گفته:

You should consider adding ini_set to the disable_functions in the PHP configuration as this setting allows PHP scripts to override global security and performance settings for PHP scripts. Adding ini_set can break PHP scripts and commenting out any use of ini_set in such scripts is advised

You should consider adding ini_set to the disable_functions in the PHP configuration: شما بهتره تابع ini_set رو به بخش disable_functions تنظیمات PHP اضافه کنید.
as this setting allows PHP scripts to override global security and performance settings for PHP scripts: چون این تابع باعث میشه بعضی تنظیمات فایل php.ini فقط برای هاست کاربر قابل تغییر باشه که ممکنه امنیت یا حتی Performance سرور رو به خطر بندازه
Adding ini_set can break PHP scripts and commenting out any use of ini_set in such scripts is advised: اما غیرفعال کردن این تابع ممکنه باعث غیرقابل استفاده شدن اسکریپت های مختلفی بشه.

در هر صورت انتخاب با شماست که این تابع رو غیرفعال کنید یا نه.
بستگی به مصرفتون از سرور هم داره مثلاً همانطور که گفتم برای مصرف هاستینگ من پیشنهاد میکنم بذارید فعال بمونه چون اغلب اسکریپت ها از این تابع استفاده میکنن.حتی شرکت های بزرگی مثل میهن وب هاست هم این تابع در سرور های اشتراکی شون فعال هست.