Как настроить права для php файла, чтоб запретить ему удаление/изменение или просмотр директории или файла?

Question

[PO6OT]

Нет доступа к конфигурациям, по тому, что я на бесплатном хостинге, есть только .htaccess и php.
Как сделать, чтоб ./script.php не имел права удалять/изменять папку ./apps ?

Comments

[PO6OT]

Анатолий K: Есть технология предотвращения исполнения вредоносного php кода. У вас есть другие идеи, замечания или комментарии?

Answer 1

[xmoonlight]

От eval() - ничего не спасет.
Настройте права.

Comments

[PO6OT]

У меня есть альтернативное решение:
Не выполнять напрямую файл ./script.php, а выполнить файл ./validator.php, который проверит ./script.php на наличие строк, которые могут навредить папке ./apps (прочитать/удалить/изменить папку/файл) и сохранит измененный ./script.php (с удаленными строками) во временный файл - ./temp/script.php, затем включит в себя этот темп-файл. Или можно просто выдать ошибку при обнаружении неугодных строк. Или можно сразу заменить ./script.php на измененный.
Только у меня один вопрос - где найти такой валидатор, по тому что сам я такое еще никогда не делал и вроде не собирался

[xmoonlight]

Вадим Егоров: проще сверять с эталоном через md5 и если поменялась подпись - то запрещать исполнение. Использовать pre-append в .htaccess: davidwalsh.name/prepend-append-files-htaccess

[PO6OT]

есть какие то скрипты-валидаторы кода php для php, чтоб обнаружить неугодные мне строки и если они есть, выдать die();

[xmoonlight]

Вадим Егоров:
1. preg_match();
2. проверка regex-шаблона: regex101.com
3. массив "адских" строк и вперед

[PO6OT]

xmoonlight: в том-то и дело, что это геморрой. А нет ли готовых валидаторов, чтоб я только поменял шаблон немного?

[xmoonlight]

Вадим Егоров: ну а чем preg_match не угодил? функции то он отловит.

[PO6OT]

xmoonlight: дело в том, что функция, которую я отыщу с помощью preg_match может быть не функцией, а частью экранируемой информации

[xmoonlight]

Вадим Егоров: я ответил на вопрос в том топике.

[PO6OT]

xmoonlight: а что делать если функция берет для оперирования переменную - путь к папке, а эта переменная состоит из нескольких, тогда что делать?

[xmoonlight]

Вадим Егоров: я же написал в другом топике: Есть какой-нибудь написанный на php скрипт-валидатор php кода?

Answer 2

[FanatPHP]

убрать из script.php весь код, который может изменять папку ./apps
А права здесь не при чем

Comments

[PO6OT]

а нельзя просто поставить запрет на изменение папки, чтоб весь следующий код, который изменяет эту папку не работал?

[PO6OT]

а тот который не изменяет - работал

[vaut]

Вадим Егоров: можно: man chmod

[PO6OT]

У меня есть альтернативное решение:
Не выполнять напрямую файл ./script.php, а выполнить файл ./validator.php, который проверит ./script.php на наличие строк, которые могут навредить папке ./apps (прочитать/удалить/изменить папку/файл) и сохранит измененный ./script.php (с удаленными строками) во временный файл - ./temp/script.php, затем включит в себя этот темп-файл. Или можно просто выдать ошибку при обнаружении неугодных строк. Или можно сразу заменить ./script.php на измененный.
Только у меня один вопрос - где найти такой валидатор, по тому что сам я такое еще никогда не делал и вроде не собирался

[FanatPHP]

это какая-то адская фантасмагория. Курительные смеси - прямая дорога к ТЯЖЕЛЫМ последствиям.

[PO6OT]

FanatPHP: а есть какие то скрипты-валидаторы кода php на php, чтоб найти неугодные строки и удалить их, или просто знать, что они там есть

[FanatPHP]

нет

[PO6OT]

Анатолий K: вы видимо не поняли, что я хочу сделать всё через php, и думаю, это легко, только надо найти валидатор php настраиваемый

[FanatPHP]

не удивительно, что никто не понимает - потому что ты и не объяснял. а валидатор ищи. оно тебя на врем займет. Чем больше будешь искать, тем меньше наделаешь глупостей.

[PO6OT]

Анатолий K: почему невозможно? берем preg_match и ищем по шаблону те функции, которые нельзя исполнять. Если такие находим - выполняем die(). А проблема в том только, что этот код может оказаться не кодом, а частью экранируемой информации. Конечно, шанс этого очень мал, но лучше сделать нормальное разделение, чтоб мне не жаловались, что в комментах оставили код, а он исчез, а то и вообще страница не отображается.

[FanatPHP]

потому что ты не знаешь и 10% "этих функций"

[PO6OT]

Есть технология предотвращения исполнения вредоносного php кода. У вас есть другие идеи, замечания или комментарии?

Answer 3

[vaut]

В вашем случае скорее всего никак. Разве только удалить из script.php весь код, который может изменять папку ./apps.
Если бы была полноценная машина то с помощью настройки SELinux. Без него если весь код выполняется от одного пользователя, то и права будут одинаковые. И еще PHP как CGI придется выполнять.

Comments

[PO6OT]

У меня есть альтернативное решение:
Не выполнять напрямую файл ./script.php, а выполнить файл ./validator.php, который проверит ./script.php на наличие строк, которые могут навредить папке ./apps (прочитать/удалить/изменить папку/файл) и сохранит измененный ./script.php (с удаленными строками) во временный файл - ./temp/script.php, затем включит в себя этот темп-файл. Или можно просто выдать ошибку при обнаружении неугодных строк. Или можно сразу заменить ./script.php на измененный.
Только у меня один вопрос - где найти такой валидатор, по тому что сам я такое еще никогда не делал и вроде не собирался

[PO6OT]

Анатолий K: заливаем не через ftp а через панель управления мною написанную

[PO6OT]

Есть технология предотвращения исполнения вредоносного php кода. У вас есть другие идеи, замечания или комментарии?