PHP security - best practice?

[Pavel2]

Zdravim,

mam na serveru hostovane 2 domeny a potykam se s problemem jak zabranit, aby domenaA nemohla pomoci PHPka provadet include ../domenaB/data.php.

Cet sem, ze to lze udelat pomoci workeru, ale nasel jsem zminku, ze ten taky neni uplne bezpecny z duvod "thread safe". Muze nekdo poradit jak vhodne domeny izolovat na jednom serveru?

[Reklama]

[rooobertek]

Možno overkill, ale za zmienku stojí OpenVZ

[Jakub L]

Provozovat PHP per-user, např. PHP-FPM... A každý web vlastní jiný user a má vlastní ownership souborů...

[pajon]

Na urovni interpretera PHP sa da cez open_basedir. Inak spominana virtualizacia

[Dzavy]

Urcite web per user. Pouzivam na to v apachi mod_ruid2 a muzu jedine doporucit.

[Reklama]

[karel]

docela smutne je jak se nekteri snazi virtualizaci procpat vsude i tam kde kni neni duvod

jinak jeste je mozno pouzit chroot ale s tim prichazi i komplikace

[Jakub L]

Na urovni interpretera PHP sa da cez open_basedir. Inak spominana virtualizacia

- vulnerabilities involving any kind of safe_mode or open_basedir
violation, as these are security models flawed by design and no longer
have upstream support either.

http://anonscm.debian.org/gitweb/?p=pkg-php/php.git;a=blob_plain;f=debian/README.Debian.security;hb=HEAD

A dříve tam bylo toto:

- vulnerabilities involving any kind of safe_mode or open_basedir violation, as these are security models flawed by design and no longer have upstream support either.