Forum Webscript.Ru
Программирование => PHP => Тема начата: Bang от 20 Января 2003, 15:48:37
-
Эта тема периодически поднимается на форуме, саму меня она тоже в своем время интересовала и до сих пор интересует: для закачки файлов нам надо открыть директорию, то есть сделать ей нежелательный с точки зрения безопасности chmod и т.д.
ну а что, если писать в эту директорию файлы по фтп? какие минусы у этого способа?
-
какие минусы у этого способа?
Нууу... Если специально искать минусы. Во-первых, нежелательный исходящий трафик. Во-вторых - увеличивающееся время работы скрипта
-
Для закачки файлов ничего открывать не надо.
Никаких особенных дыр в безопасности закачка не делает.
Не мог бы ты, товарищь Банг, изложить сей тезис не в стиле "слышал звон, да не знаю, где он", а конкретно изложить - в чем сосотит проблема "нежелательный с точки зрения безопасности chmod и т.д."
Только не надо отмазок, что "это всем известно". Ничего такого неизвестно. Если админ не полный идиот, то аплоад никакого вреда сайту сделать не может.
Кстати, разговор идет о хостерах для нищих. потому, что у нормальных апач исполняется от имени бзера, и никаких чмодов вообще давать не надо
-
Ну вот например спрашивали (http://forums.webscript.ru/showthread.php?s=&threadid=10072&msgnum=5) совсем недавно.
но я, собственно, не это спрашиваю, я просто спрашиваю, а что если файлы класть не обычным образом, а через фтп - какие тут могут быть подводные камни, потому что сама я их не вижу. вот и все :)
можно прямо-таки удалить этот топик, чтобы не разводить очередной флейм
-
да, объясню, почему такой вопрос возник - это не я придумала, что дыра в безопасности и т.д.
это админы (у них собственный сервер) очень любят делать chmod по своему разумению, а потом давай звонить и говорить, что "у нас что-то там не закачивается". чтобы не было этих проблем, я и подумала об фтп.
-
Тему поднимал человек, который в теме абсолютно ничего не понимает.
Давай еще поднимем тему "Почему не стоит писать сайты на PHP, поскольку это дыра в безопасности?"
или "почему нельзя жить, потому, что можно умереть?"
Как минимум, подводным камнем является
а) размещение пароля к собственному фтп в скрипте, что является не гипотетическим, а самым прямым дыром в безопасности.
б) Банальное усложнение программы. Вместо простого copy() или move_uploaded_file(), последняя функция, кстати, и придумана против админов - параноиков, городить целую программу для доступа к своему диску по фтп, а потом бежать на форум с криками - а почему у меня не работает, и вываливать кода на 100 строк, который можно было уместить в 5 и самому в нем легко разобраться..
А админы... а если они запретят и чтение, то ты свой фтп и не запустишь.
-
Полностью согласен с Ромиком. Это уже паранойя. Используй move_uploaded_file() и не мучайся. ;)
[OFF]Не чего страшного со временим она проходит, я вот как вспомню как я бедного Ромика грузил вопросом о том что быстрее explode() или unserialize(), аж самому теперь(давно это было...) смешно:)[/OFF]
Не мог бы ты, товарищь Банг
Не могла бы ты... ;)
-
Это уже паранойя.
Ок. Спасибо. Раз и навсегда успокаиваюсь на эту тему... Хотя параноики так просто не успокаиваются, конечно. Но раз уж Ромик сказал, то все, умолкаю... :)
Не могла бы ты...
:)
Тоже спасибо
-
Мне тут короткая формулировка в голову пришла.
Хотят админы, чтобы была закачка? Пусть открывают на запись. Не открывают? Их проблемы.
Я правильно понял, что на их серверах происходит дело?
В общем, я отвечал на вопрос, который вынесен в заголовок.
Конкретную программу закачки, как и любую другую можно написать с дырками. Но закачка просто фактом своего существования никак безопасность не нарушает.
Никаких проблем с безопасностью открытие на запись не создает, если соблюдаются общие правила безопасности.
-
Я правильно понял, что на их серверах происходит дело?
Да, так и есть.
Ок, я неправильно сформулировала вопрос, прошу прощения. Однако ответ я получила, всем спасибо :)
-
(http://nagash.org/smiles/others/26.gif) все спасибо за внимание...