säkerhetsfråga|Nätverk / Internet|Forum|Nordichardware

Search
Forum Scope


Match



Forum Options



Minimum search word length is 3 characters - maximum search word length is 84 characters
Lost password?
The forums are currently locked and only available for read only access
sp_Feed sp_TopicIcon
säkerhetsfråga
Turbo_tail
Siktar mot toppen
Medlem
Forum Posts: 83
Member Since:
September 13, 2002
sp_UserOfflineSmall Offline
1
December 7, 2002 - 4:18 pm
sp_Permalink sp_Print

Jag har ett litet php-script som loggar besökare och deras ip-nummer på min hemsida. Det skrivs till en fil och då har jag lagt rw-rättigheter på denna. Men nu till frågan, eftersom det är skrivrättigheter så kan någon skriva nånting till filen och hur ska detta isåfall gå till? Med skriva menar jag att lägga till någon rad med "passlig" text som då syns på min hemsida.

Pontan
It’s a first time for everybody
Medlem
Forum Posts: 7
Member Since:
November 25, 2002
sp_UserOfflineSmall Offline
232638
December 9, 2002 - 11:49 pm
sp_Permalink sp_Print

hur ditt script ser ut... Om en besökar på något sätt kan manipulera med variabeln som innehåller hans ip, innan det skrivs ner i din fil så är det ju möjligt.. Eller om du kanske har flera annvändare på din server, räcker ju med att du har gett någon ett ftp konto med web/php möjligheter, så kan ju han skriva ett skript som skriver ner något roligt i din fil.... Men det antar jag att du har tänkt på...

Annars, säg att du har ett skript som gör detta:

if (!isset $var) $var = $REMOTE_ADDR
skriv_till_fil($var)

Inte för att jag vet varför du skulle ha en koll om $var är tomt, men säg att du har så.. Då kan en besökare ladda "http://din.adress/index.php?var=blahablaha"..

Och eftersom $var då innehåller något så läggs inte det nya värdet från $REMOTE_ADDR in, utan "blahablaha" kommer att skrivas till filen istället...

Turbo_tail
Siktar mot toppen
Medlem
Forum Posts: 83
Member Since:
September 13, 2002
sp_UserOfflineSmall Offline
233543
December 11, 2002 - 8:23 pm
sp_Permalink sp_Print

Omformar min fråga:

Mitt problem:

Ett php-script ska kunna lagra data (IP och datum t.ex.), eller en gästbok gjord med php ska ju även den lagra resultatet i en fil då en besökare skriver i den. Eller vilken fil som helst för den delen som kräver skrivrättigheter för en uppgift på webben. Bakgrunden är denna:

Hemsidan ligger på mitt hemområde på skolan, det är en unix-maskin och till samma maskin har förstås även alla andra elever och lärare tillgång (men med andra användarnamn naturligtvis). Detta betyder att lägger jag rättigheterna på dessa filer som jag vill ska uppdateras och därmed skrivas till med t.ex. chmod 666 ( -rw-rw-rw- ) så fungerar det, MEN vem som helst av alla andra användare på skolan kan logga in och t.ex. skriva emacs ~mitt_user/www/filen_ifråga och editera precis som de vill! För jag har ju både läs och skrivrättigheter! Så hur i hela fridens namn ska jag lösa detta, för såhär går det ju inte att ha det. Nu säger ni "hur ska användarna veta namnet på filen för det är php och syns inte i web-browsern". enkelt : cat ~mitt_user/www/index.php.

Så hur gör jag så att endast ägaren till "besöket" (http-sessionen eller vad man ska kalla det) får skriva till filen?

Det går ju överhuvudtaget inte att lägga något annat än read-rättigheter för andra ( chmod x44 ) för så fort jag lägger skrivrättigheter så kan ju vem som helst editera filen.

Pontan
It’s a first time for everybody
Medlem
Forum Posts: 7
Member Since:
November 25, 2002
sp_UserOfflineSmall Offline
233590
December 11, 2002 - 9:20 pm
sp_Permalink sp_Print

Ehm, ja, då kan det ju vara svårt.... Du kan ju kanske ändra ägare på filen till www, httpd eller vad nu webservern har för annvändare, då kan ju ingen editera den rakt upp och ner iallafall... Dock kan dom ju bara göra ett eget php script som ändrar i din fil... (lite jobbigare för dem iallafall)...

Tror inte att det går att göra någonting åt det, som systemet ser ut idag... tyvärr..

Forum Timezone: Europe/Stockholm
Most Users Ever Online: 1030
Currently Online:
Guest(s) 378
Currently Browsing this Page:
1 Guest(s)
Top Posters:
Andreas Galistel: 16287
Jonas Klar: 15897
ilg@dd: 10810
Nyhet: 10607
Mind: 10550
Ctrl: 10355
Gueno: 9881
Guest: 9344
Snorch: 8881
Callister: 8468
Newest Members:
PetrbonFU PetrbonFU
Karine Bembry
Dolores Mcdaniels
Anibal McLeish
Francisca Alt
Alfie Everhart
Lester Huitt
Orlando Jorgensen
Mikki Lundgren
Dakota Kozlowski
Forum Stats:
Groups: 11
Forums: 59
Topics: 146630
Posts: 1300967

 

Member Stats:
Guest Posters: 2
Members: 79425
Moderators: 0
Admins: 11
Administrators: nordicadmin, Henrik Berntsson, Anton Karmehed, Carl Holmberg, Joel Oscarsson, Mikael Linnér, Mikael Schwartz, Andreas Paulsson, Nickebjrk, Mattias Pettersson, EmxL