Как запретить файлам php доступ к вышележащим папкам (как на хостинге)?

Question

[PO6OT]

Как запретить файлам php доступ к вышележащим папкам (как на хостинге)? Желательно с помощью htaccess.
Не беспокойтесь за eval(), он отключен в конфигурации php.ini. Доступ к Shell из PHP тоже запрещен.
Каждый php файл должен иметь доступ только к дочерним папкам.
Пояснение для особо одаренных:

spoiler

То есть если файл script1.php лежит по пути ./root/script1.php, то он не должен иметь доступ ни к каким файлам и папкам, кроме файлов и папок, находящихся в папке ./root/, ./root/foo/, ./root/foo/bar/, ./root/foo/bar/other/ и т.д.

А если файл script2.php лежит по пути ./root/foo/script2.php, то он не должен иметь доступ ни к каким файлам и папкам, кроме файлов и папок, находящихся в папке ./root/foo/, ./root/foo/bar/, ./root/foo/bar/other/ и т.д.

Таким образом файл ./root/script1.php может знать, что в директории ./root/foo/ находится script2.php и может его удалить, а script2.php не может ни того ни другого, он может делать то-же самое только в своей и в дочерних папках.

Answer 1

[Дмитрий Энтелис]

stackoverflow.com/questions/12591547/restrict-phps...

Answer 2

[PO6OT]

open_basedir

Answer 3

[FanatPHP]

С самоуверенностью, достойной лучшего применения, ты задаешь неграмотные вопросы, и требуешь, чтобы тебе изложили всю computer science в вопросах и ответах, да еще и на доступном тебе уровне, учитывая ограничения твоей говноархитектуры.
При этом с очень большой вероятностью ответ тебе не пригодится - либо в силу упомянутой нищебродской архитектуры, либо потому ты просишь - опять же, от чудовищной неграмотности - вообще не то что тебе нужно.

Хочешь знать, как делает хостинг?
Там СОТНИ вариантов. От тупо file permissions и чрута до отдельных виртуалок для пользователей. С учётом специфических требований в каждом конкретном случае. Хочешь узнать как? Читай книжки! Если ты думаешь, что надцателетняя сопля может построить систему, задав пару вопросов на тостере, то вынужден тебя огорчить. Даже программисты с десятилетним стажем не занимаются настройкой окружения - этим занимаются специально обученные в своей специальности люди. Которые тоже лет 10 потратили.

Хочешь буквального ответа на свой вопрос? пожалуйста, изучай
https://www.linux.com/learn/tutorials/309527-under...

Хочешь адекватных ответов?
Научись задавать адекватные вопросы и адекватно реагировать на критику своих завиральных идей.

Comments

[PO6OT]

Надо не разрешить конкретному файлу доступ только к конкретной папке, а каждый php файл должен иметь доступ только к дочерним папкам.

[FanatPHP]

Ты губочки-то свои пухлые закатай. Командовать у себя дома будешь, клоун недоделаный.

[PO6OT]

FanatPHP: Вы так красиво меня обосрали, не предложив элементарно open_basedir() .
Пусть и ваши заявления о моей некомпетентности на тот момент были небезосновательны (кстати, интересно, с чего вы это взяли, что я школьник - порылись в сетях или так на вид?). Да, я не собирался использовать эту функцию, когда задавал вопрос, у меня зрели неординарные абсурдные планы по использованию этого. Но разве не могу я задать вопрос ради обучения?

Answer 4

[SagePtr]

Запускать php от юзера, который не имеет доступа к этим папкам

Comments

[SagePtr]

Вадим Егоров: тогда не забудьте запретить все функции, которые позволяют вызывать внешние программы или работать в обход open_basedir

[PO6OT]

SagePtr: не беспокойтесь, на shared-хостинге подобные функции уже запрещены

[PO6OT]

каждый файл от отдельного юзера будет сложновато запускать

Answer 5

[xmoonlight]

Права и запуск скриптов от имени различных пользователей:
suEXEC

Comments

[xmoonlight]

Вадим Егоров: это управление не доступом для конкретного файла! Читайте.

[PO6OT]

xmoonlight: спасибо

[PO6OT]

xmoonlight: только на shared-хостинге такое не пройдёт