TSfree 発言

  ねこ丸です。

# まんまと釣られたか？

Bruce. writes:

> こういう仕掛けを持っていたんですねえ。
> 
(略)
> > 関数を無効にするには，php.iniファイルに次のような行を挿入（または編集）すればよい。
> > 
> > disable_functions = "shell_exec, suexec, passthru" 

  へぇぇ。
  safe mode からは独立しているんですね。知らなかった(^^;
  まぁわたしゃホスティング業者じゃないんで、無作法な他人のスクリプトの
ことまで知ったこっちゃないんですが。


> 気が利いているんだか、こうしないと危なっかしくて使ってられない
> 代物なのかちょっと判断に困ったり。

  両方でしょうね。

  最新の状況は知りませんけど、「PHP と言えば多くの場合 mod_php であり、
Apache の権限でできることは基本的になんでもできる」んじゃないかと思いま
す。OS が間に挟まってプロセスを起こす CGI は重いけどそこで待ったを掛け
ることができます。が、mod_php だとそれはできませんよね？（理解、合って
ます？）suexec とか。Apache 2 で perchild がまともに使えれば違うのかも
しれませんけど。

  で、さすがにまずいケースあるんじゃないか？と思ったので php.ini のレベ
ルでブロックできるようにしておいたと。

# この記事の場合は単にホスティング業者が弱かっただけじゃないのかなぁと
# いう気がします。

  その点、fastcgi なら権限管理しやすいんじゃないかと思っているんですけ
ど、実際どうだかやったことないので分かりません。mod_php も fastcgi も丸
ごと管理できる（しなきゃいけない）サーバでしか動かしてないし。
  トロイの木馬は混ざっていないと信じたい(笑

--
    ねこ丸