Радует, что вы адекватно воспринимаете критику.
Мой совет - если в вопросах безопасности не сильны, обратитесь к специалисту, чтобы плохо не закончилось. Это мы тут советуем, а другие могут сразу пробовать ломать и есть шансы, что получится.
Для начала - установить корректные права и заставить сайты работать под аккаунтами их владельцев. (mpm-itk как один из вариантов).В данный момент всё работает от юзера Apache и вы "заставляете" пользователей ставить на папки права 777, чтобы скрипты могли в них писать. (а эти права позволят писать туда любому). И если юзер Apache может прочитать файл, то и любой другой сайт сможет. (т.к. другой сайт тоже запустится от юзера Apache). Т.е. взломав один сайт, можно и другие аккаунты затронуть.
Да вот не верно вы понимаете. Сервер должен быть настроен так, чтобы даже без запрета функций нельзя было навредить.
P.S.: Вот вы запрещаете просмотр UID/GID, а они в phpinfo светятся тоже. Просто запретами вопрос не решить. Вот я на вскидку знаю несколько функций, которые потенциально опасные. Нужно вопрос безопасности решать, а не пытаться сделать не возможным пользоваться "дырками".
Вот если сервер настроен безопасно, то запреты нужны "на всякий случай", а не в виде единственных мер.
То вы... то не вы...
Вы бы всё же обратились к администратору за настройкой, хотя бы разовой. (от греха)
Зато функций много запретили) Смотрите... часть функций может быть безобидным скриптам необходима.
User/Group apache(48)/48
И где здесь MPM-ITK ?
ware, а я для чего phpinfo просил? =) Регаться было лень... а по ответу я уже понял, что его нет.
Можно ссылку на phpinfo(); ? Думаю, что и клиентам будет интересно, какие модули php вы установили на сервер
А "то" напишете, вам там вопрос задавали?:) И кто всё-таки админ и саппорт? Думаю, что я не ошибусь, сказав, что это всё вы.
Вот вы и выбирали из дешёвых похоже =) Тогда действительно качество вас порадует.
Вы видимо в его сообщении мало чего поняли. Админ сервера - это вы?
