Я задал этот вопрос некоторое время назад, и хотя я предложил несколько вознаграждений, я так и не получил ответа (см. supp">здесь). В общем, я хочу знать, существует ли какая-либо концепция безопасности в suPHP? Что мешает кому-либо пойти
www.example.com/rm-f-r.php
or
www.example.com/return_some_iamge.php
Поскольку эти сценарии выполняются с привилегиями пользователя, доступ по существу гарантирован.
EDIT Чтобы уточнить вышеизложенное, моя проблема носит концептуальный характер. Предположим, у нас есть файл по адресу /home/user/test.php
. Позвольте этому файлу делать что угодно (rm -f -r /
, извлекать и возвращать изображение, перезагружать компьютер...) Если я укажу своему браузеру на этот файл (при условии, что содержащая папка является включенным сайтом под Apache), как мне сказать браузеру, чтобы он разрешал только владелец этого файла выполнить его?
РЕДАКТИРОВАТЬ 2: я никогда прямо не заявлял об этом, поскольку предполагал, что suPHP используется только с apache (т.е. веб-браузерами), но я говорю об аутентификации пользователей Linux только с помощью браузера. Если мы не аутентифицируемся, то технически любой имеет доступ к любому сценарию на сервере (с веб-сайтами это не проблема, поскольку они всегда имеют разрешения, установленные на 0644
, так что, по сути, весь мир может видеть. Файлы PHP, с другой стороны, имеют разрешения, обычно установленные на 0700
)