Здравствуйте, Уважаемый(-ая, -ое) Alexander Bodnarashik!

>> Поясните, пожалуйста, что вы имеете
>> ввиду про "дырявость" директивы open_basedir.

AB> safe_mode считается устаревшей.
AB> В ченьджлоге PHP чуть ли не каждый второй релиз содержит "fixed
AB> open_basedir" (утрирую конечно, но количество фиксов указывает на
AB> ненадежность фичи).
AB> https://rdot.org/forum/showpost.php?p=17487
AB> Включенный open_basedir мешает нормальной работе curl
AB> (CURLOPT_FOLLOWLOCATION cannot be activated when safe_mode is enabled
AB> or an open_basedir is set), который маст хев в большинстве типичных
AB> инсталляций.

У меня всегда включена open_basedir, постоянно пользуюсь cURL, никаких проблем
нет. Пользоваться надо уметь, IMO.

AB> "Небезопасный" код в этом плане в сторонних (да и коробочных)
AB> расширениях к пхп сводит на нет все усилия и мнимую безопасность.

Пусть это будет на совести тех, кто такой код пишет.
Связка +open_basedir -Follow Symlinks достаточно надёжна.
За последний год я могу припомнить ну два раза, когда её правили.
Большинство "фиксов" относится к режиму safe_mode, который я вообще не
понимаю, зачем нужен. Похоже, люди его используют по инерции.

l> не слишком уж типично использование cURL extension в принципе, IMHO.

Вы заблуждаетесь. Это один из самых надёжных и производительных способов
получения внешних данных из HTTP/FTP источников.

А вот давать доступ из веб-окружения к шеллу - это как раз таки чрезвычайно
небезопасно.

P.S.
Засим сворачиваемся, ибо дикий оффтопик.


--
С уважением

Andrey Repin (hell-for-yahoo@umail.ru) понедельник, 26.09.2011, <04:43>

_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru