In article <gbghjt$en3$2@news.httrack.net>,
 Xavier Roche <xroche@free.fr.NOSPAM.invalid> wrote:

patpro ~ Patrick Proniewski a écrit :

allow_url_include = Off

Ah, c'est mieux déja :)

Corrigez moi si je me trompe, mais le fopen n'est pas dangereux en terme
d'injection de code PHP, sauf si on fait bêtement un exec sur le contenu
du fichier ouvert.

Oui, pour le fopen c'est à priori peu problématique.

Pour ma part, j'ai aussi configuré mon firewall pour que le user du
serveur web ne puisse pas sortir sur d'autres ports sur le 80 et 443. En
soi, cela n'interdit pas les injections, mais ça rend la chose moins
intéressante (exit les relay irc, ...).

En sortie aussi ? Un script php qui lance en arière plan une socket vers
l'exterieur et y pipe un shell, c'est faisable :)

uniquement en sortie, puisque c'est une regle qui se base sur l'UID du
process local.
Dans mon cas, l'UID 80 (www) n'est autorisée à émettre des packets que
vers les ports 80 et 443 (et vers les connexions ouvertes par des
clients, bien évidement).
Il y a toujours des cas où on pourra tourner autour. Mais mon but était
surtout d'éviter que la compromission du serveur web permette de faire
des connexions sauvages vers l'extérieur.

patpro

--
A vendre : KVM IP 16 ports APC
http://patpro.net/blog/index.php/2008/01/12/133