لماذا يتم حجب الدوال التالية

[daif]

يعاني المبرمجين من حجب الكثير من الدوال عن العمل وذلك لاسباب امنيه ... وهذه السبب جدا مقنع لاي مستظيف .

لكن اعتقد ان مدير السرفر يجهل ان هذه الدوال كان وللحظه غير آمن وكان الحل الفوري دوما هو حجبها , لكن ليس الى الابد ... فغالبا ما يتم انظال نسخه جدبده من php ويتم تلافي المشكله الا انه مدير السرفر لا يفك الحجب عن هذه الدوال .

هنا قائمه بما يحظرني بهذه الدوال ... لا يجب ان تحظر

كود:

curl_exec
copy
psockopen
phpinfo
fsockopen
mail
readfile
fopen
glob

جميعها أخذتها من هذه الموضوع
http://www.swalif.net/softs/showthread.php?t=168119

[ahmed100]

السلام عليكم ورحمة الله وبركاته ،،

جزاك الله خيراً أخي daif أتمنى من الإخوة أصحاب شركات الإستضافة الإجابة عليك ومن هم لهم خبرة بأمور الأمآن والأن في الخوادم،،

ولدي سؤال/ ما هي الدوال يمكن أن تكون غير آمنة للخادم أي مكن تسبب له ثغرات يمكن الوصول إليها؟

أرجوا أن أستفيد من هذا الموضوع فهو مهم بالنسبة لي أيضاً

[mezoo]

مؤخراً وجدت مربع يغلق Call-time pass-by-reference
ولما سألت قالو ان نظام الأمن في مربع يختلف عن أي شركة وهذه الدالية (مع العلم انها ليست دالة أصلاً) تسبب مخاطر أمنية

وكان ردي ياريت تذكر المخاطر الأمنية ... ولكني لم أجد رد للأسف

وكذلك الكثير من أدارة السرفرات لا يفقهو شئ بالـPHP ولكن كل ما عليهم أن يغلقو لدرجة اني قولت ﻷحدهم "ياريت تقفل الـPHP على سرفرك أحسن"

[explorer]

عزيزى ضيف


psockopen يقوم بفتح بروسيس
fsockopen يقوم بفتح سوكت ويليستن له


بالنسبة ل
fopen
curl_exec
لو مغلقة الريموت انكلود مش حيشتغل
ويمكن ايضا استخدامها فى عمل سكربتات ضارة زى البروكسيات

بالنسبة للباقى فلا اجد داعى لغلقه

خالص التحية

[daif]

explorer
- ايش المشكله في fsockopen وضيفتها هي انشاء اتصال على عنوان وبورت معين ... اين المشكله الأمنيه هنا .
- بالنسبه pfsockopen هي نفس السابقه لكن لا تغلق الإتصال بعد انتهاء التنفيذ .
- ليس هناك أ يمشكله أمنيه اطلاقا في fopen
- ليس هناك اي مشكلة امنيه في curl_exec .
- البرامج الضاره هي التى تساهم في عمل عطل في السرفر.

اذا كنت تقدم استظافة مجانيه فيحق لك ان تحجب الدول او تمنع البرامج من العمل ..أن تقدم استظافه مدفوعه ... وليست وصايه على المستضيف ... آسف على اللهجه بس زعلان من مدراء السرفرات .

[Alrasam]

السلام عليكم

أعتقد هذه كانت ثغرات قديمة وتمت السيطرة عليها بتحديثات php الأخيرة

[mezoo]

عقل معظم ادارة السرفرات مازال يعيش في اوهام قديمة

أقصد انه ممكن ان يكون سمع عن دالة يجب اغلاقها من سنتيت فكل ما فعله أنه ضمها لقائمة الدوال التي يغلقها لكل سرفر يتعامل معه

ولا يدري ان فريق عمل PHP يقوم بعمل Fix Bug بكل أصدار
ولا فكر يقرا الجديد في كل أصدار PHP يحدث إليه على سرفره

لو مغلقة الريموت انكلود مش حيشتغل

انت عارف معنى انك أغلقت الريموت انكلود أيه ؟؟
لا يمكن قرائة محتويات من سرفرات خارجية بمعظم الطرق المتاحة من قبل الـPHP
لا يمكن التعامل مع بوابة SMS
لا يمكن قرائة صورة وانشاء مصغر لها
لا يمكن التعامل مع ملفات نصية من مواقع اخرى
لا يمكن قرائة اخبار من مواقع الاخبار

نصيحة ﻷدارة السرفرات
تابع ما الجديد بكل أصدار جديد من PHP من خلال http://www.php.net/ChangeLog-4.php
ويارت لو تشاهد التغيرات في PHP5 لكي تعلم أنهم لا يطورا PHP4 تقريباً من اكثر من سنتين وأن التطويرات في PHP5 من خلال http://www.php.net/ChangeLog-5.php

شكراً أستاذ ضيف

[كارم ابراهيم]

ليس من حق اى حد ان يعرف ذلك يعنى مثلا هى بتحجبها هى و uname -a phpinfo

هذه مثلا اعطيت شل لمبرمجينا وقالو ان معظم الشلات تعتمد عليها انا ليست لى خبرة فى البرمجة ولا اعرف ذلك ولكن هل لو هى مضرة لماذا لا تم توفير بديل fopen

[العطاء]

السلام عليكم ورحمة الله وبركاته


سؤال في الكيمياء العضوية ^_^


لو كان لدى شخص php5.2.1

وقام بتعطيل كل هذه الدوال:

pcntl_exec,show_source,backtick,dl,copy,error_log,tempnam,curl_init,system,passthru,exec,popen,proc_ close,proc_get_status,proc_nice,proc_open,proc_terminate,shell_exec,highlight_file,pclose,pfsockopen ,chmod,debugger_off,debugger_on,leak,ftp_exec,posix_uname,getmyuid,getmygid,posix_kill,posix_mkfifo, chgrp,listen,define_syslog_variables,,posix_getpwuid,get_current_user,apache_child_terminate,posix_s etpgid,posix_setsid,posix_setuid,getservbyport,getservbyname,myshellexec,escapeshellarg,cmd,virtual

ماهي الدوال التي يجب عليه إزالتها؟
هل من منقح يقوم بتنقيح هذه الدوال بعلم ودرايه كاملين؟


لكم خالص التحيات