[MASOCH-L] RES: RES: script php

Marcelo Coelho marcelo at tpn.com.br
Mon Jun 8 14:29:15 -03 2009


On 08/06/2009, at 14:06, Renato Frederick wrote:

> Para editar UM arquivo de 30k....
>
>

No seu post inicial, você se referiu a "script php para editar  
arquivos do sistema via web", acho que todo mundo que quis te ajudar  
entendeu que você queria editar QUALQUER arquivo via web, algo bem  
diferente do que você está descrevendo agora.

SUGESTÃO:

1) Rode um chown atribuindo o grupo do apache como dono do arquivo:

chown :www local.cf

2) Permita que o grupo leia e grave este arquivo:

chmod g=rw local.cf

3) Crie o script PHP para modificar/adicionar/excluir entradas neste  
arquivo. Se não conhece PHP, o ponto de partida pra fazer isso está  
aqui:
http://br.php.net/manual/en/function.fopen.php

PRECAUÇÕES:

a) Não permita que neste servidor usuários externos possam executar  
scripts. Por exemplo, se é um servidor de e-mail, não o utilize para  
hosting compartilhado abrigando scripts de outros clientes.

b) Consulte o manual do programa de e-mail para certificar-se de que  
não se abre nenhuma brecha no sistema ao alterar a permissão de  
determinado arquivo.

c) Valide a entrada do usuário para não permitir que ele forneça  
informações inválidas. Por exemplo, se o usuário for entrar com um  
nome de domínio, não permita caracteres especiais ($, $, |, \n etc),  
pois isso pode quebrar o seu arquivo de configuração ou abrir brechas  
para invadir teu servidor. O ideal limitar os tamanhos dos parâmetros  
e utilizar expressão regular para validar as entradas. Importante:  
valide via PHP e não somente via JavaScript, pois JavaScript é client- 
side e pode ser facilmente driblado.


--
Marcelo Coelho
marcelo at tpn.com.br





More information about the masoch-l mailing list