Journal Free, ou la gestion des fonctions interdites en PHP

Posté par  (site Web personnel) .
Étiquettes : aucune
0
24
juil.
2004
Vous le savez peut-être, PHP permet de définir des fonctions qui ne sont pas autorisées (ça se fait dans le fichier de conf). Certains hébergeurs en profitent donc pour supprimer des fonctions qu'ils jugent comment dangeureuses, comme les posix_...() ou autres exec() et j'en passe. Certains vont plus loin et virent aussi les fonctions ob_(). Bref ! Free fait encore plus fort, ils interdisent de supprimer un répertoire (donc pas de fonction rmdir()). Soit. Mais là où ils innovent c'est qu'ils ne désactivent plus les fonctions, celles-ci renvoient NULL, invariablement.

C'est très très très pratique quand on code un outil qui utilise function_exists() pour s'adapter à l'hébergeur ! Merci Free.

Ah oui ! Faudra aussi qu'on m'explique pourquoi supprimer rmdir() et laisser unlink(). Je sais bien qu'elle ne font pas la même chose, mais rmdir() ne peut supprimer que des répertoires vides et est donc moins dangeureuse que unlink() s'il s'agit d'un problème de sécurité (débile tout de même).
  • # rmdir et unlink

    Posté par  . Évalué à 3.

    Pour rmdir() et unlink() ce n'est pas des raisons de sécurités vu que de toute façon le safe_mode est activé chez Free donc tu n'est pas censer pouvoir accéder à un fichier hors de la racine web de ton compte.
    • [^] # Re: rmdir et unlink

      Posté par  . Évalué à 1.

      Je pense qu'il voulait parler des problemes pour le meme user... Un neuneu qui supprime son propre dir, et qui vient s'en plaindre apres...
      • [^] # Re: rmdir et unlink

        Posté par  . Évalué à 4.

        Oui mais ce que tu viens de citer ne relève pas de la sécurité, mais de l'incompétence ou de l'étourderie.

        L'hébergeur se fiche un peu du fait que tu te trompes dans tes scripts ou autres du moment que tu ne gênes pas les autres comptes d'hébergements.
        • [^] # Re: rmdir et unlink

          Posté par  . Évalué à 1.

          Euh, pas exactement, non... car un client qui fout en l'air son compte risque de venir gueuler par la suite et d'encombrer la hotline, voire, dans certains pays, de porter plainte et de gagner un paquet de millions de dollars (zut, je viens de dévoiler le pays!)... C'est quand même la base de protéger le client contre lui même...

          Mais effectivement il ne s'agit pas d'un problème de sécurité au sens habituel (piratage/intrusion/serveurs en carafe, etc...)
          • [^] # Re: rmdir et unlink

            Posté par  . Évalué à 1.

            Mais effectivement il ne s'agit pas d'un problème de sécurité au sens habituel (piratage/intrusion/serveurs en carafe, etc...)

            Est il utile de préciser que plus de 50% des problèmes de sécurité en entreprise viennent de l'intérieur de l'entreprise...
            :-o
      • [^] # Re: rmdir et unlink

        Posté par  . Évalué à 1.

        Si, par "son propre dir", tu entends DOCUMENT_ROOT, alors il n'y a pas de raison que cela puisse arriver... Le DOCUMENT_ROOT appartient à neuneu, mais pas le répertoire parent (enfin, j'espère !), donc neuneu n'est pas sensé pouvoir supprimer DOCUMENT_ROOT.

        En revanche si tu parles du contenu de DOCUMENT_ROOT, alors ce n'est pas justifié de la part de Free, personne n'est à l'abris d'une étourderie.
    • [^] # Re: rmdir et unlink

      Posté par  . Évalué à 1.

      Sauf si quelqu'un a un script mal fait qui permet à quelqu'un d'externe d'exécuter des commandes php et donc d'effacer le site en question. C'est une sécurité pour les apprentis "PHPistes".
    • [^] # Re: rmdir et unlink

      Posté par  . Évalué à 1.

      > tu n'est pas censer pouvoir accéder à un fichier hors de la racine web de ton compte.

      Le safe_mode n'y est pour rien, c'est l'open_basedir qui contrôle ce comportement.
  • # proxad.free.support

    Posté par  (site Web personnel) . Évalué à 10.

    Pourquoi ne pas poster votre remarque sur proxad.free.support ?
    • [^] # Re: proxad.free.support

      Posté par  (site Web personnel) . Évalué à -7.

      tu bosserais pas pour Free toi ?
      • [^] # Re: proxad.free.support

        Posté par  . Évalué à 9.

        Qu'il y travaille ou pas, c'est tellement vrai que bon ...

        « Je vous présente les moines Shaolin : ils recherchent la Tranquillité de l'Esprit et la Paix de l'Âme à travers le Meurtre à Main Nue »

    • [^] # Re: proxad.free.support

      Posté par  (site Web personnel) . Évalué à 4.

      J'aimerai assez mais la dernière fois que j'ai écrit au support de free, j'ai pas été déçu du voyage.

      Ça concernait la suppression du support de PATH_INFO dans les scripts PHP (par exemple toto.php/param1/param2). Je leur ai très poliment expliqué que ça marchait avant et qu'ils avaient là un petit problème avec l'existant (et je ne pense pas qu'à DotClear). Ce n'est qu'une option à ajouter à la compilation de PHP.

      La réponse a été qu'ils ne changeraient rien.

      Et puis pour mon problème de maintenant, c'est résolu, j'ai simplement perdu pas mal de temps à comprendre pourquoi rmdir() ne marchait pas mais ne retournait aucune erreur. D'où mon coup de gueule pas bien méchant.
      • [^] # Re: proxad.free.support

        Posté par  . Évalué à 0.

        Si ce n'est pas indiscret, je suis assez curieux de savoir comment tu as contourné le problème...
        Je cherche personnellement encore un moyen détourné de supprimer un répertoire pour un petit outil d'admin de gallerie web (spgm en l'occurence...) que je fais et qui doit tourner chez free...
        Au pire me dira-t-on, "use the source, Luke", mais si tu pouvais me donner un petit pointeur, ce serait cool...
    • [^] # Re: proxad.free.support

      Posté par  . Évalué à 1.

      J'ai envoyé un mail au support il y a un an ou deux pour leur demander de mettre à l'heure leurs frontaux mysql, mais peau de balle. Heureusement que les frontaux php sont synchro, eux.
    • [^] # Re: proxad.free.support

      Posté par  (site Web personnel) . Évalué à 1.

      C'est déjà fait, mais aucune réponse de leur part concernant le problème lié à la configuration d'IMP chez eux... (question posée en mai).
      http://linuxfr.org/~Flyounet/12540.html(...)
  • # Bonsoir Olivier

    Posté par  . Évalué à 3.

    Avant toute chose, merci pour Dotclear : http://www.dotclear.net/(...) ...
    ...et pour ton engagement dans la communauté du libre.

    Cependant, il me semble -AMHA- que FREE fournit un service gratuit en tant qu'hébergeur, et qu'il n'a, de ce fait, aucun intérêt à activer les fonctions PHP les plus "intéressantes"...

    Ceci dit, je suis totalement d'accord avec toi qu'ils abusent, mais comme le suggère le commentaire au-dessus, il me semble qu'une action directe auprès de FREE pourrait porter ses fruits. En mobilisant par exemple la communauté Dotclear -qui existe - c'est évident, derrière toi.
    [perso] En leur disant ****par exemple**** qu'ils commencent à ressembler à Multimania/Lycos... [/perso]

    En tout cas merci encore pour ce superbe outil de Blog... et bonne continuation !!
    • [^] # Re: Bonsoir Olivier

      Posté par  . Évalué à 5.

      > En leur disant ****par exemple**** qu'ils commencent à ressembler à Multimania/Lycos...

      À mon avis, c'est une idée à oublier. Rien de plus maladroit que de dire « Oui mais votre truc ne le permet pas alors que le truc de X le permet » : généralement, ça peut énerver et amèner la réponse évidente « Allez chez X » et au final, ça n'apporte aucune réponse. La meilleure solution, c'est de demander pourquoi, tout simplement, en restant courtois et ouvert.

      « Je vous présente les moines Shaolin : ils recherchent la Tranquillité de l'Esprit et la Paix de l'Âme à travers le Meurtre à Main Nue »

      • [^] # Re: Bonsoir Olivier

        Posté par  . Évalué à 2.

        Ben non, c'est l'inverse : ici, le monsieur précédent suggère de leur faire remarquer qu'ils deviennent aussi cons que leurs concurrents, détail qui avait fait penché la balance en leur faveur à une époque.
        Si ils jouent à celui qui sera le plus con, ya plus de raison de ne pas aller voir la concurrence.
        • [^] # Re: Bonsoir Olivier

          Posté par  . Évalué à 4.

          en meme temps je ne crois pas que ca soit l'hebergement de site sans pub qui leur donne le plus d'argent...
        • [^] # Re: Bonsoir Olivier

          Posté par  . Évalué à 6.

          Parce que sur les pages persos de Wanadoo, la fonction PHP "rmdir()" est activé ?

          Ah bah non, ya pas de PHP chez Wanadoo (hors offre premium à prix exorbitant).

          Tout ça pour dire que quand les offres d'hébergement gratuites des autres FAI arriveront à la cheville de celle de Free, on pourra commencer à se plaindre. En attendant ...
          • [^] # Re: Bonsoir Olivier

            Posté par  . Évalué à 3.

            Tout ça pour dire que quand les offres d'hébergement gratuites des autres FAI arriveront à la cheville de celle de Free, on pourra commencer à se plaindre. En attendant ...

            Si déjà l'offre d'hébergement payante de online arrivait à la cheville de leur offre gratuite... peut être qu'il veulent rééquilibrer les deux offres... mais par le bas. Dommage :(
          • [^] # Re: Bonsoir Olivier

            Posté par  . Évalué à 2.

            Exact, et je pense que s'ils desactivent les 3/4 de php, c'est aussi pour pouvoir continuer d'offrir ce service :
            - maintenance plus aisee
            - moins de ressources pompees sur les machines

            Parce que c'est bien gentil le php, mais t'as rien de tel pour te plier un serveur. (et un forum par ci, un forum par la, etc etc etc)

            Je ne vois pas pourquoi Free proposerait d'heberger des sites gratuits sur des betes de course.

            Je pense que si tu veux avoir un bon support du php, il ya un truc tres simple :
            - soit tu paies chez un fournisseur
            - soit tu te prends pa la main et tu fais ca comme un grand : un_pc_pas_cher, ta connection internet (ADSL), addresse IP fixe ou IP dynamique (dyndns), une bonne distrib (tu choisis)(pour ce genre d'utilisation debian stable ou BSD semblent etre particulierement appropries), plus un peu de travail de secu (au minimum un firewall)
            • [^] # Re: Bonsoir Olivier

              Posté par  (site Web personnel) . Évalué à 2.

              Bonjour,
              J'ai toujours eu un peu de mal à croire qu'on puisse faire tenir un site web digne de se nom sur une ligne adsl.

              Quel débit faut-il pour avoir un truc correct ?

              Comment gérer la bande passante de façon intelligeante ?

              Pour ma part, je suis chez wanadoo avec du 512 k. J'ai deux pc dessus. Je me vois mal ajouter un serveur web.

              Même avec un site léger j'ai un peu peur que les visiteurs rament trop pour y accéder. Sans parler des déconnexions

              Quelqu'un peut-il me faire part de son experience à ce sujet ?
              Merci
              • [^] # Re: Bonsoir Olivier

                Posté par  . Évalué à 1.

                Reponse de normand : ca depend du site web et de ta connection (plus particulierement de l'upload).
                Si tu heberges ton site web chez toi, c'est ton upload qui trinque, pas le download.
                Donc si les deux pc connectes ne font que de la navigation internet, ca ne devrait pas poser de souci particulier.

                Le calcul est simple : tu calcules ta charge d'upload disponible (exemple 128kbs, le debit moyen d'une connection sur ton serveur) et a partir de cela tu vois si c'est realisable et comment tu dois configurer ton serveur (nombre maxi de connections entrantes, bande passante allouee, etc etc)

                Si c'est pour un petit site perso, meme dynamique, pas de soucis. (meme avec forum, galerie de photo, blog, wiki et tout et tout).

                Si c'est pour heberger un gros site de vente en ligne lie a d'enorme bases de donnees, et generant de gros debits, n'y pense meme pas.

                Pour info, il y a pas mal de site tres bien, avec une belle masse de contenu et bien consultes (plusieurs connections en permanence) qui tourne comme ca, soit avec un IP fixe, soit derriere une relayeur genre DYNDNS.

                Autre truc pour un site perso (c'est un tour de chacal, vu que la plupart des spammeurs / fournisseurs de pages web polluantes... font la meme chose) :
                1 laisser le serveur et le contenu leger chez toi
                2 mettre le contenu volumineux chez un herbergeur
                3 sur ton site web, etablir les liens vers le contenu volumineux (comme ca, tu ne consommes pas trop de bande passante).
                (mais le procede n'est pas tres honnete)
                • [^] # Re: Bonsoir Olivier

                  Posté par  (site Web personnel) . Évalué à 1.

                  Merci pour ces infos.
                • [^] # Re: Bonsoir Olivier

                  Posté par  . Évalué à 2.

                  sur ton site web, etablir les liens vers le contenu volumineux (comme ca, tu ne consommes pas trop de bande passante).
                  (mais le procede n'est pas tres honnete)


                  ce procédé est même (je suis presque sur) interdis chez free et chez la plus part des fournisseurs, il est recommandé de bien lire le contrat d'hebergement, car si l'abonné rompt le contrat par cette acte, le compte sera fermé ...
    • [^] # Re: Bonsoir Olivier

      Posté par  . Évalué à 2.

      En attendant, je ne sais pas pourquoi Olivier se plaint, il a surement ses raisons, mais en tout cas la version 1.2-beta2 de dotclear marche niquel chez free. J'ai juste eu un peu de mal à avoir la liaison mysql mais maintenant ça marche.

      Merci Olivier.
  • # autre pb ?

    Posté par  . Évalué à 2.

    regardez ce que j'obtient lorsque j'essaye de supprimer des repertoire sur l'imp :
    Le dossier « sent-mail-02-2004 » n'a pas été détruit. Le message d'erreur est : DELETE failed: Can't delete mailbox INBOX/sent-mail-02-2004: no such mailbox
    Le dossier « sent-mail-12-2003 » n'a pas été détruit. Le message d'erreur est : DELETE failed: Can't delete mailbox INBOX/sent-mail-12-2003: no such mailbox

    no such mailbox pourtant...
  • # Effarant

    Posté par  . Évalué à 1.

    Moi je trouve éffarant que tu "insulte" un fournisseur d'hébergement web GRATUIT

    Si tu n'est pas content du service fourni par cet hébergeur gratuit, ben va t'acheter un mutualisé.
    • [^] # Re: Effarant

      Posté par  . Évalué à 1.

      Euh il n'est pas gratuit il me coute 30 euros par mois et c'est moi qui te le payent indirectement. Ce que je ne regrette pas cela me permet de mettre des site en ligne et de voir des bons sites (Pas des zones de stockage illégales).
      Mais j estime que cela me donne un droit de regard.

      De plus si mes souvenirs est bon Olivier est aussi chez free :].

      Pour l instant, la fonction rmdir, je m en fou. Et je vais tester les fonctions xmlrpc dans peu de temps.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n’en sommes pas responsables.