因为Debian开发者认为safe_mode(不会使其成为PHP6)和open_basedir固有地破坏了安全措施,我想知道它们是否可以被mod_suexec与mod_fcgid结合替代。 你认为这是有效的吗?
亲切的问候,本杰明。
我会build议给予适当的文件权限在文件系统,使用suexec与PHP将是可以接受的safe_mode 。 这只是因为你允许文件系统阻止文件访问,而不是让PHP为你做,这被认为是破碎的,因此从PHP 5.4中删除。
open_basedir确实存在一些问题,例如与symlinkreplace有关的竞争条件不好,因此可能不应该使用它。 我不知道它是从PHP中删除,我会假设他们会尽量收紧有朝一日。 我不会依赖它。 suexec不会解决这个问题。 例如,如果要阻止PHP脚本访问/etc/passwd , suexec将不会执行任何操作来防止它,因为这通常是世界上可读的文件。 open_basedir可能会阻止这种情况发生,如果它不是为了讨厌的竞争条件。 我不认为suexec解决这部分,我不知道什么可以解决它,除了以某种方式使用chroot 。