Journal PHP et Safe Mode

Posté par  (site web personnel) .
Étiquettes : aucune
0
1
mar.
2004
Suite à un utilisateur chez mon hébergeur qui se plaignait du Safe Mode, j'ai fait une ou deux recherches, dessus.
Il y a les pour et les contre. Mais ce que je n'arrive pas à savoir c'est si le développement de PHP (en version 5) prévoit autre chose (suppression du Safe Mode) ou un reforcement de celui-ci ?

Cher journal, si tu as des infos que je puisse rajouté dans ma petite note à la maison : http://blog.flyounet.net/2004/03/01/1g8g3-Php-Et-La-Securite-Safe-M(...)

Merci.

  • # Re: PHP et Safe Mode

    Posté par  (site web personnel) . Évalué à 1.

    A la limite je suis preneur de commentaires de type "pour" ou "contre".

  • # Re: PHP et Safe Mode

    Posté par  (site web personnel) . Évalué à 1.

    J'allais répondre de toute façon mais comme en plus tu parle de DotClear ;-)

    Je suis content de savoir que DotClear fonctionne en safe mode, je n'en savais rien et n'avais pas envie de tester :). A mon avis le safe mode est une erreur et surtout la preuve généralement d'une certaine incompétence de la part des hébergeurs.

    Pour un hébergeur je n'arrive même pas à concevoir qu'il n'utilise pas suexec et php en cgi. C'est sûr que ça demande plus de boulot que d'installer vite fait mal fait un Apache mais héberger est un métier qu'on n'improvise pas.

    De toute façon, développer une appli qui passe chez le plus de monde possible est un boulot compliqué qui doit être pensé dès le départ (E_ALL, des includes avec __FILE__, etc.) et qui peut-être gaché très rapidement par des mecs qui n'ont rien compris.

    J'aimerai assez militer pour un label d'hébergement PHP, qui garantirai, spec à l'appui, ce que sait faire à coup sûr l'hébergeur.

    • [^] # Re: PHP et Safe Mode

      Posté par  (site web personnel) . Évalué à 1.

      En continuant à chercher, il semblerait (information à prendre au conditionnel) que PHP en module soit plus rapide que PHP en CGI. Du coup, il consommerait moins de CPU et aurait de meilleures performances ?
      Cela peut-il être une des raisons invoquées par les hébergeurs ?

      • [^] # Re: PHP et Safe Mode

        Posté par  . Évalué à 1.

        Oui tutafé, Php compilé en module d'apache m'a l'air relativement plus rapide. Enfin bon j'ai pas eu l'occasion de le tester sur un serveur de prod mais en local c'est ce que j'ai constaté à petite échelle. Et c'est aussi ce qui est largement recommandé.

      • [^] # Re: PHP et Safe Mode

        Posté par  . Évalué à 0.

        Sans compter qu'il y a a eu des failles de sécurité lourdes dans le CGI qui n'affectaient pas le module Apache

  • # Re: PHP et Safe Mode

    Posté par  . Évalué à 1.

    Ca dépend ... Si tu as beaucoup de personnes sur le serveur alors faut l'activer (vu que tu peux pas vraiment tout contrôler). En effet pour les développeurs php, il faut coder pour le safe mode on.

    Si tu as le safe mode off, et que ton apache tourne en root, ou avec de mauvaises permissions sur l'user ou y'a apache, alors c'est la cata : sisi, je l'ai vu on peut exécuter des commandes sur le serveur distant, et ce sans se faire logguer nulle part (même pas l'ip/page dans le log d'apache), et avoir ce que retourne le shell dans le navigateur (c'est l'histoire de 2 lignes).

    Conclusion : si tu doutent de la qualité des scripts hébergé, safe mode on, si tu sais ce qu'il y'a et que les permissions sont bien configurées off.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.