Stefan Esser si è rotto le scatole stavolta
http://www.php-security.org/
P.S. che ne ha voglia, dia un'occhiata al blog, può rivelarsi una lettura illuminante sulle problematiche inerenti alla sicurezza di PHP
Stefan Esser si è rotto le scatole stavolta
http://www.php-security.org/
P.S. che ne ha voglia, dia un'occhiata al blog, può rivelarsi una lettura illuminante sulle problematiche inerenti alla sicurezza di PHP
Addio Aldo, amico mio... [03/12/70 - 16/08/03]
ext/filter is a similar stupid idea like magic_quotes_gpc
molto interessante anche il discorso sull'open_base_dir ... si sono scordati di dire che ad esempio con SQLite ed altri files che non devono essere scaricati o raggiunti è più sicuro avere questa direttiva non impostata al fine di poter leggere tramite PHP cartelle inaccessibili via web.
Io comunque tra i bugs ci metterei il php.ini, ci sono 3 versioni nella distribuzione e fanno tutte e tre confusione ed alcune sono sconsigliabili per vari motivi.
Io metterei solo la recommended, senza scelta, eliminando l'opzione magic_quotes e register_globals ed altro ancora.
Comunque l'iniziativa è interessante, se non altro la gente per fine Marzo si metterà le mani tra i capelli e smetterà di elogiare a prescindere il PHP
Da non credersi :rollo:
http://www.php-security.org/MOPB/MOPB-29-2007.html
Addio Aldo, amico mio... [03/12/70 - 16/08/03]