PHP Functies blokkeren in .htaccess?

**Bastiaan F** · 18-01-2012, 21:33

Beste SD'ers,

Ik zit al een paar uur met mijn handen in m'n haar en ik blijf er maar niet uitkomen. Het probleem is als volgt:

In mijn public_html staan twee mappen: Uploads en Data.

In de map uploads kunnen gebruikers zelf hun scripts uploaden en uitvoeren.
In de map data staat de website, draaiend op een custom cms.

Probleem: de website kan makkelijk gehackt worden dmv een fread() commando, van: eerst de index, daarna de config, gezien het feit dat gebruikers zelf hun scripts kunnen uploaden.

Nu heb ik eerst een uur zitten denken: de map data uit de public_html halen kan niet, het moet simpelweg beschikbaar zijn voor iedereen. CGI kan ik nog niet echt goed, hetzelfde geldt voor .htaccess.

Heeft iemand hier misschien een oplossing voor?
Het hostingbedrijf waar ik bij zit draait: CGI, .htaccess, cronjobs, en ik geloof ook Ruby en Perl.

Bij voorbaat dank!
Bastiaan F

**N. Kaag** · 18-01-2012, 21:39

Je kan iets proberen als:
php_admin_value disable_functions "exec, system, readfile, passthru"
in je .htaccess

En het zou nog beter zijn als je je php.ini file zou kunnen aanpassen, en dan de disable_function = "exec, system" enzovoorts daarin toevoegen.

Ik zou zeggen,, google nog even op disable_functions php o.i.d.

Een andere manier is nog om alle geüploade bestanden te controlleren met een php script om te kijken of er bepaalde method calls worden gedaan.
En je eventueel nog iets kunnen maken dat je het handmatig moet controlleren als er iets als ../ in voorkomt. Omdat dat een eventuele verwijzing is naar het willen uitlezen van een hogere directory.

**Bastiaan F** · 18-01-2012, 21:42

Origineel gepost door N. Kaag

Je kan iets proberen als:
php_admin_value disable_functions "exec, system, readfile, passthru"
in je .htaccess

En het zou nog beter zijn als je je php.ini file zou kunnen aanpassen, en dan de disable_function = "exec, system" enzovoorts daarin toevoegen.

Ik zou zeggen,, google nog even op disable_functions php o.i.d.

Bedankt voor de snelle reactie!

Ik ben overigens niet correct geweest in mijn probleemstelling: de fread functies moeten in DATA wel kunnen werken..

Groet

**N. Kaag** · 18-01-2012, 21:45

Je zou een apparte .htaccess kunnen maken voor de map Uploads.

Is het een VPS of Dedicated server, of is het shared hostig?

**Bastiaan F** · 18-01-2012, 22:15

Origineel gepost door N. Kaag

Je zou een apparte .htaccess kunnen maken voor de map Uploads.

Is het een VPS of Dedicated server, of is het shared hostig?

Het is shared hosting.

Heb het een en ander gevonden, en misschien biedt het een oplossing:
In htaccess een bestandje aanmaken met een IF statement, zodat als de gebruiker zich in een bepaalde directory bevind dat er naar een custom php.ini bestand gegaan wordt. Op deze manier kan ik daar misschien alle FTP functies blokkeren.

Ik laat morgen of overmorgen horen of het gelukt is, en hoe ik dat gedaan heb!
Bedankt voor de hulp!

PHP Functies blokkeren in .htaccess?