можно ли не давать скриптам обращаться за DOCUMENT_ROOT?

[vivid]

чтоб не лазили по другим каталогам скриптами. и чтоб была доступна максимум директория /tmp вне DOCUMENT_ROOT?

 

[PHP_Master]

Установить PHP как CGI.

 

[Zeratul]

2PHP_Master. Ты имхо не прав.
Установка PHP как CGI дает только лишь запуск php как отдельного процесса..
Это наоборот значит что php имеет больше прав и выполняется от имени пользователя.

Правильнее было бы ответить:
Надо ограничить права на чтение и запись для пользователя от имени которого выполняется php

Ну и не стоит забывать, что защита должна быть комплексной(лучше обратится к опытному админу).

 

[PHP_Master]

Это наоборот значит что php имеет больше прав и выполняется от имени пользователя.

Только в пределах своего аккаунта.
Это всего лишь одна из мер.
PHP установленный как CGI по определению более безопасен, чем mod_php и, имхо, удобен.

Если хочется полной изоляции, то chroot и jail в руки.

 

[dobs]

Еслия правильно все понял то вот это надо в конфиги вирт хоста вписать

php_admin_value open_basedir "/home/user.../:."

 

[tostrss]

Я бы не был так уверен с бейсдире, под него штук 7-8 есть способов обхода..курл, бзопен, инклуд,сессии и т.д.

и новые обходы появляются все чаще и чаще.

 

[vivid]

php_admin_value open_basedir "/home/user.../:."
это safe_mode???? он имеет кажется побочные эфекты, кажется

 

[dobs]

Нед это не сейфмод...
Для просмотра ссылки Войди или Зарегистрируйся

 

[studentpm]

Я бы не был так уверен с бейсдире, под него штук 7-8 есть способов обхода..курл, бзопен, инклуд,сессии и т.д.

и новые обходы появляются все чаще и чаще.

Покажи хоть один пример обхода.
Если нет явных дыр в конфигурации то опен-баседир спасает.