 |
Бесплатные PHP скрипты - форум техподдержки |
Форум техподдержки WR-Скриптов на php. Обсуждаем: основы программирования на PHP 5 - 7 версий, различные подходы к написанию скриптов на php 7 без MySQL. А также WR-скрипты: бесплатные доски объявлений, скрипты форумов, Гостевые книги, Каталог ссылок, Галерея, Фотоальбом, Счётчики, Рассылки, Анекдот и другие. Принимаются пожелания для новых версий. Сообщите какой скрипт нужен для Вашего сайта, постараемся найти или реализовать. Скачать скрипты можно бесплатно. Вместе мы сделаем бесплатные php скрипты лучше и доступнее!
|
| Сегодня: 18.04.2024 - 20:52:37
Помогите с настройкой форума| Объявление - WR-Scriptы в UTF-8 кодировке |
|---|
Активно обновляю скрипты и перевожу их в UTF-8 кодировку. Список перекодированных php скриптов доступен на главной странице сайта. Скачивайте скрипты и устанавливайте на свой сайт! В ближайшее время обновлю каталог знакомств, форум Про, фотоальбом, доски объявлений лайт и ЛЮКС.
На форуме, пожалуйста, пишите что модернизировать в скриптах в первую очередь. Постараюсь исправить большую часть пожеланий!
Планирую продолжить работы весь 2023 год.
|
| Автор | Сообщение |
|---|
Maksir •
M Участник форума
|
Цитата: | Для особо одаренных снова: С чего вы взяли, что вы работаете с правами Владельца и принадлежите к указанной группе? |
Для сильно вумных: а nobody:nobody чем вам не Владелец и Группа?
В системе Unix нет файлов без Владельцев и Групп по определению!
Цитата: Вы как "все остальные" работаете и не забывайте это.
|
А по другому и быть не может! Только вы это не узреите никак, то о чем я говорю.
1. Сервер выдаёт на выход всё то, где настройки доступа определены "Для Всех"
2. Модуль PHP работает с nobody , где Владелец и Группа с правами 660, "Для всех остальных" значения не имеют! На выходе мы получаем результат работы скрипта.
Цитата:| Ага, есть. По умолчанию. Только я ведь могу сделать так, чтобы неограниченных прав на каталог у вас не было. А то и вообще небыло домашнего каталога. |
Что за дурдом? И кому вы, как Хостер, будете нужны без каталога для пользователя под его страничку в сети?
Вы, когда создаёте свой сайт, берёт площадку у Хостера, вы там на своём сайте ставите настройки для файлов какие хотите? Значит вам позволено создавать и удалять файлы. Кто у вас отнимет эти права, какой дебил?
Цитата:| И обломитесь вы считать этот файл. |
Ну вы рутман ваще ушлёпок... С какой это радости, сервер apache будет вам открывать системные каталоги, если у него в конфигурации прописан иной путь.... ????
Цитата:| В случае уязвимости в скрипте, злоумылшенник получит полный доступа |
Каким образом?
Чем отличаются файлы с правами 660 и 666 ?
я предлогаю урезать права "Для Всех" там, где они не имеют никакого влияния на работу скрипта. Более того, можно убрать Группу и определить права 600 В чем здесь уязвимость? Какую дыру вы там собираетесь использовать? | |
|
| Сообщение # 121 |
21.05.08 - 14:09:27
|  |
Rootman •
R гость
|
Цитата: Для сильно вумных: а nobody:nobody чем вам не Владелец и Группа?
В системе Unix нет файлов без Владельцев и Групп по определению!
|
Для еще более умных. На каталог выставлены права rootman:rootman. С какого nobody:nobody здесь владелец?
Цитата: 2. Модуль PHP работает с nobody , где Владелец и Группа с правами 660, "Для всех остальных" значения не имеют! На выходе мы получаем результат работы скрипта.
|
Если скрипт работает под nobody, а права на файл rootman:rootman, то ничего ваш скрипт при доступе на файл 660 прочесть не сможет. Вам придется выставить 666, а не то, что вы все время пишите. Об чем я и толкую.
Цитата: Что за дурдом? И кому вы, как Хостер, будете нужны без каталога для пользователя под его страничку в сети?
|
Опять вы ничего не поняли. Вам снова мою задачу повторить?
Вы имеете свой каталог на сервере, с именем например /home/users/DSdsfxzwq9839832dsf/ с правами доступа 777. На каталог-же /home/users/ выставлены права 660, т.е доступ на чтение его содержимого закрыт. В этом же каталоге находятся домашние каталоги других юзеров с такими же случайными именам, как и ваш и правами доступа тоже 777. Задача - записать что-нибудь в чужой каталог. Так доходит о чем речь?
Цитата: Ну вы рутман ваще ушлёпок... С какой это радости, сервер apache будет вам открывать системные каталоги, если у него в конфигурации прописан иной путь.... ????
|
То есть как с какой. Системной команде cat /etc/shadow плевать, какой путь прописан в настройках сервера, она, как команда системы, считает то, что вы ее укажете. Я ведь не зря использовал здесь запуск системной команды а не команды работы с файлами из PHP.
Цитата: Каким образом?
Чем отличаются файлы с правами 660 и 666 ?
|
Тем что в первые ничего нельзя записать если сервер выполняет скрипты под nobody. А вот если сервер выполняет скрипты с правами того же пользователя, который является владельцем файла (а вы это предлагаете) - тогда можно будет записать что угодно и куда угодно.
Цитата:| я предлогаю урезать права "Для Всех" там, где они не имеют никакого влияния на работу скрипта. Более того, можно убрать Группу и определить права 600 В чем здесь уязвимость? Какую дыру вы там собираетесь использовать? |
Ну правильно, раз урезаете. Для скриптов запись для всех не нужна, необходимо лишь "чтение для всех", т.е права 664, для CGI - 665 или 775 (иначе не запустится). Файлам, доступным для записи - 666. | |
|
| Сообщение # 122 |
22.05.08 - 07:24:45
| |
Maksir •
M Участник форума
|
Цитата: На каталог выставлены права rootman:rootman. С какого nobody:nobody здесь владелец?
|
У Хостера спроси. :)
я ничего не придумываю. Если через ftp заливаю и команда ls -l (как и сам Mignight Comander) показывают реального Владельца и Группу, значит так оно и есть. В конце концов, nobody, это всего лишь фикция для временых файлов. Возможно, у Хостера есть на этот счёт свой скрипт и настройки конфигурации PHP.
Цитата:| Если скрипт работает под nobody, а права на файл rootman:rootman, то ничего ваш скрипт при доступе на файл 660 прочесть не сможет. Вам придется выставить 666, а не то, что вы все время пишите. Об чем я и толкую. |
Вопервых, PHP не работает с правами "Все". Это несложно проверить, - проверьте.
Вовторых, эти настройки с Владельцем и Группой важны только в том случае, если PHP записывает в этот файл что-то. Это тоже несложно проверить.
Файлы rootman:rootman модуль PHP открывает и читает. nobody только для файлов, где речь идёт о записи.
Цитата:| Вы имеете свой каталог на сервере, с именем например /home/users/DSdsfxzwq9839832dsf/ с правами доступа 777. На каталог-же /home/users/ выставлены права 660, т.е доступ на чтение его содержимого закрыт |
Да всё я понимаю. Я даже ставил эксперименты по этому делу. И написал вам по неосторожности наивной, что командой ls -l можно узнать о содержимом в этом каталоге. Система пишит - "отказано в доступе к файлу ....такому-то..." И далее по каждому файлу в этом каталоге. Это локальный случай.
В ситуации с сервером, если к каталогу users права 660, я вам отвечаю - а у сервера в конфиге прописан путь к каталогу /DSdsfxzwq9839832dsf/. Это первое, второе - Сервер всё равно почем берёт эти файлы в вашем каталоге, смысл в том, по чем он их продаёт!!! Если вы указываете 777 , так оно и будет!
Цитата:| Системной команде cat /etc/shadow плевать, какой путь прописан в настройках сервера, она, как команда системы, считает то, что вы ее укажете |
Куда вы клоните? Мы говорим о сервере вообще-то!
Через shell я смотрел корень каталога у Хостера, но дальше дозволенного мне нельзя было посмореть. Это всё решается, так или иначе - у меня нет прав root, следовательно, я немогу сам себе устанавливать права. Всё зависит от тех настроек, которые сам root определит на своём хосте.
Цитата:| Тем что в первые ничего нельзя записать если сервер выполняет скрипты под nobody. А вот если сервер выполняет скрипты с правами того же пользователя, который является владельцем файла (а вы это предлагаете) - тогда можно будет записать что угодно и куда угодно. |
В первом случае, это в каком? (указывать надо) а то всё вокруг да около...
В первом и во втором случае, если скрипт выполняет запись в файл, он может записать с правами nobody, и даже в третьем случае где права 600 можно поставить. Если речь идёт о файле, которые содержат просто код, сценарий скрипта, там nobody неважен, важны лишь настройки доступа для Владельца. Для PHP неважнен прараметр - "Все остальные", вот о чем я хочу сказать. Он просто ненужен там, поскольку не несёт никакой поддержки для работы скрипта. Это несложно проверить, ЕСЛИ ВАМ НЕ ЛЕНЬ!!!
Цитата:| Ну правильно, раз урезаете. Для скриптов запись для всех не нужна, необходимо лишь "чтение для всех", т.е права 664, для CGI - 665 или 775 (иначе не запустится). Файлам, доступным для записи - 666 |
Ну, вы уже почти-почти меня поняли. :)
Только файлам на запись для обработки интропритатора PHP, группа - Все остальные, тоже не имеют значения. Важен только пользователь/Владелец nobody | |
|
| Сообщение # 123 |
22.05.08 - 14:01:45
| |
Igor •
I гость
|
Когда на своем емайле я хотел авторизировать свой логин мне выдало такое
*Вернитесь назад. Вы ошиблись в воде активационного ключа или емайла.*
Хотя до этого авторизировал без проблем. Ошибок не выдает только эту запись...Что может быть? | |
|
| Сообщение # 124 |
22.05.08 - 18:24:51
|
|
Igor •
I гость
|
Если что мой форум тут http://www.bdsm.planet.ee/forum/index.php | |
|
| Сообщение # 125 |
22.05.08 - 18:27:21
| |
Rootman •
R гость
|
Цитата: У Хостера спроси. :)
я ничего не придумываю. Если через ftp заливаю и команда ls -l (как и сам Mignight Comander) показывают реального Владельца и Группу, значит так оно и есть. |
Ну так а в чем проблема? Естественно вы владелец своего домашнего каталога. Речь в том, что в предлагаемой задаче вы не можете прочесть содержимого вышестоящего каталога и тем самым определить имена домашних каталогов других пользователей. А не зная имени и записать в них ничего не сможете, какие-бы на них не стояли атрибуты доступа.
Цитата: Вопервых, PHP не работает с правами "Все". Это несложно проверить, - проверьте.
|
И к чему такая категоричность? PHP будет работать с теми правами, которые вы ему установите. В данном случае nobody:nobody аналолгично работе с правами "для всех остальных".
Цитата: Файлы rootman:rootman модуль PHP открывает и читает. nobody только для файлов, где речь идёт о записи.
|
С чего вдруг? У него владелец и группа другие - nobody:nobody, поэтому файлы с 660 ему недоступны.
Цитата: В ситуации с сервером, если к каталогу users права 660, я вам отвечаю - а у сервера в конфиге прописан путь к каталогу /DSdsfxzwq9839832dsf/. Это первое, второе - Сервер всё равно почем берёт эти файлы в вашем каталоге, смысл в том, по чем он их продаёт!!! Если вы указываете 777 , так оно и будет!
|
Понятно что в конфиге все каталоги прописаны, однако далеко не факт что вы сможете прочесть конфиг-файл сервера. Насчет второго - да, при таких правах сервер имеет полный доступ к каталогу, но только как вы в него что-то запишите? Вы же имени его не знаете.
Цитата: Куда вы клоните? Мы говорим о сервере вообще-то!
|
И я о сервере. Напомню, вы говорили следующее:
Цитата:| Сервер в первую очередь запущен от пользователя root и может открывать любые файлы с любыми настройками доступа, хоть 000 |
Я вам посоветовал выполнить cat /etc/shadow чтобы вы убедились что ничего подобного.
Цитата: В первом случае, это в каком? (указывать надо) а то всё вокруг да около...
В первом и во втором случае, если скрипт выполняет запись в файл, он может записать с правами nobody, и даже в третьем случае где права 600 можно поставить. |
В первом случае - это в вашем. В нем дествительно сервер может записать в файл на который выставлены даже права 600. В моем случае (работа с правами nobody:nobody) ни записать ни даже прочесть такой файл сервер не сможет.
Цитата: Ну, вы уже почти-почти меня поняли. :)
Только файлам на запись для обработки интропритатора PHP, группа - Все остальные, тоже не имеют значения. Важен только пользователь/Владелец nobody |
Здесь под nobody работает только сервер, на файле стоят совсем другие вледалец и группа, поэтому если вы уберете права "все остальные" для сервера файлы станут недоступными. | |
|
| Сообщение # 126 |
23.05.08 - 06:11:34
| |
Maksir •
M Участник форума
|
Igor, если можно, по порядку...
1. Вы зарегестриовались.
2. Не активировали свою учётную запись с кодом, который был отправлен на ваш email, хотя до этого...
Цитата: | Хотя до этого авторизировал без проблем |
итак, что вас смущает? | |
|
| Сообщение # 127 |
23.05.08 - 23:17:18
| |
Nika •
N гость
|
Привет. Подскажите пожалуйста, можно ли как нибудь поставить на форум ссылку возврата на сайт? | |
|
| Сообщение # 128 |
24.05.08 - 12:12:33
| |
Igor •
I гость
|
Проблема в том что когда я установил этот форум то я первым зарегистрировался там что бы проверить и без проблем прошел активацию своего ника. Потом Регистрацию прошли еще другие посетители форума. Где то 10 человек а вот дальше когда стали регистрироваться новые посетители стали поступать жалобы что они не могут пройти авторизацию. Им пишет что код авторизации не верный. Тогда я попробовал еще раз сам сделать регистрацию нового ника и не смог пройти авторизацию так же как и они. Мне выдало такую же надпись что код авторизации неправильный. Тогда я убрал функцию авторизации через емаил и все равно новые посетители не могут зарегистрироваться. | |
|
| Сообщение # 129 |
24.05.08 - 16:07:09
| |
Maksir •
M Участник форума
|
Nika, здесь? или на вашем сайте (у себя вы можете всё, что угодно. а здесь есть внизу Powered by WR-Forum © 1.8M)
Igor, попробуйте пока перезалить файл tools.php , хотя врятли это поможет, скорее всего здесь дело в самой БД. Возможно, в файле базы о пользователях есть какой-то пустой знак, или наоборот, - нужно посмотреть.
rootman
Цитата: И к чему такая категоричность? PHP будет работать с теми правами, которые вы ему установите. В данном случае nobody:nobody аналолгично работе с правами "для всех остальных".
|
Я говорю что, PHP будет работать от пользователя, и Группа и Все остальные ему ненужны. По крайней мере "Все" ненужны точно для файлов с расширением php
Цитата: Да с того, что я праверял это везде. Могу продемонстрировать и для Вас на любом бесплатном хосте. Предлагайте, а то я устал уже на пустом разговоре что-то вам объяснять.
Цитата:Сервер в первую очередь запущен от пользователя root и может открывать любые файлы с любыми настройками доступа, хоть 000
rootman:Я вам посоветовал выполнить cat /etc/shadow
Вы вообще ощущаете разницу между каталогом сервера и системным каталогом?
Сервер httpd откроет файл, в своём каталоге но если в файле не указаны атрибуты на чтение "Для всех", он его не покажет. В этом случае Владелец и Группа можно даже не указывать. Это относится только для статический файлов, с обычным текстом с расширением html
на какой черт серверу системный каталог пихать? у сервера прописан путь к каталогу о нём и речь ведём. Ну вы точно с Узбекистана...
Цитата:| Здесь под nobody работает только сервер, на файле стоят совсем другие вледалец и группа, поэтому если вы уберете права "все остальные" для сервера файлы станут недоступными. |
Да, если уберу "Все остальные", то сервер этот файл и не покажет. Ну а Владелец и Группа тут причём? (если это статический файл)
Владелец и Группа нужны там, где речь идёт о PHP модуле, потому что он их берёт на чтение, и если нужно в файл что-то перезаписать, тогда нужен Владелец nobody. Права "Все" PHP вообще ненужны. А Сервер как раз берёт любой файл, только показывает те файлы, у которых атрибуты на чтение Для Всех открыты.
Короче, чего с вами спорить, давайте любой хостер я вам сам всё покажу на деле. А то чувствую, вы ещё долго будете пересоображать, как этот механизм устроен. | |
|
| Сообщение # 130 |
24.05.08 - 17:33:43
| |
Rootman •
R гость
|
Цитата: Я говорю что, PHP будет работать от пользователя, и Группа и Все остальные ему ненужны. По крайней мере "Все" ненужны точно для файлов с расширением php
|
PHP будет работать от того пользователя, который прописан в настройках сервера. Нужны "все остальные" или нет будет зависеть от этих настроек. В любом случае чтобы вы там не говорили, права доступа 755 и 666 это общепринятая практика.
Цитата: Да с того, что я праверял это везде. Могу продемонстрировать и для Вас на любом бесплатном хосте. Предлагайте, а то я устал уже на пустом разговоре что-то вам объяснять.
|
Ну знаете-ли, если я не могу запретить скриптам читать определенные файлы, что же это тогда за хостинги такие, на которых вы это проверяли, где система прав не работает так как надо.
Цитата: Вы вообще ощущаете разницу между каталогом сервера и системным каталогом?
Сервер httpd откроет файл, в своём каталоге но если в файле не указаны атрибуты на чтение "Для всех", он его не покажет. |
В данном случае разницы никакой. У вас же сервер вроде-бы по рутом работает? Тогда для него не имеет значения какой файл и из какого каталога читать.
Цитата: Права "Все" PHP вообще ненужны. А Сервер как раз берёт любой файл, только показывает те файлы, у которых атрибуты на чтение Для Всех открыты.
Короче, чего с вами спорить, давайте любой хостер я вам сам всё покажу на деле. А то чувствую, вы ещё долго будете пересоображать, как этот механизм устроен. |
Да пожалуйста, http://sgups.awardspace.com/config.php
На config.php выставлено 400, попробуйте его прочесть.
Когда увидите ошибку, обратите самое пристальное внимание на раздел File Permissions
| |
|
| Сообщение # 131 |
26.05.08 - 06:18:20
| |
levis •
L гость
|
Мона связать регистрацию на вр-чате и вр-форуме | |
|
| Сообщение # 132 |
26.05.08 - 08:42:29
| |
|
Главная сайта