Het gevaar van de php exec functie?

Overzicht Reageren

Sponsored by: Vacatures door Monsterboard

.NET Developer / Innovatieve software / Virtual Re

Functieomschrijving Als .Net developer werken aan innovatieve software waar onder andere gebruik gemaakt wordt van Virtual Reality? Bijdragen aan een organisatie waar je uitgedaagd wordt om continu verbeteringen en ontwikkelpunten te ontdekken en door te voeren? Werken in de omgeving Putten? Reageer dan nu voor meer informatie! Het pro-actief aandragen van verbeteringen voor de bestaande applicatie; Ontwikkelen van nieuwe functionaliteiten; Doorvoeren van aanpassingen en wijzigingen; Verantwoordelijk voor koppelingen met andere systemen; Op de hoogte blijven van technische ontwikkelingen. Functie-eisen Hbo werk- en denkniveau; Een afgeronde IT gerelateerde opleiding; Minimaal 1 jaar professionele ervaring als developer; Aantoonbare kennis van C#; Initiatiefrijke

Bekijk vacature »

Martin d

Martin d

03/05/2011 20:32:03
Quote Anchor link
Een vraagje...

Op onze site maken wij gebruik van de vBulletin forum software, met een aantal 3rd part software. Wij overwegen nu om deze plugindeze plugin aan te schaffen om onze bezoekers de mogelijkheid te bieden om filmpjes en foto's te uploaden.
Deze plugin maakt onder andere gebruik van de php exec functie. Onze huidige host, versio.nl activeert deze functie niet vanwege het veiligheidsrisico wat zei daarmee lopen.
Zelf ben ik geheel onbekend met deze functie, maar bij onze vorige host (HostGator) kon deze functie wél geactiveerd worden. Het betreft hier beide hostbedrijven om een shared hosting pakket.

Wat is precies het gevaar van deze exec functie?
Aangezien deze plugin een groot gedeelte van onze community vormt, overwegen wij anders om een ander hostingbedrijf op te zoeken die wél deze functie ondersteunt.
 
PHP hulp

PHP hulp

21/09/2019 22:16:54
 
Aad B

Aad B

03/05/2011 20:38:17
Quote Anchor link
via deze functie kunnen allerlei OS command-line statements worden uitgevoerd. Ik kan me voorstellen dat hosters dat weigeren.
 
Martin d

Martin d

03/05/2011 20:43:51
Quote Anchor link
Het verbaast mij wel dat de ene host dit wel accepteert, terwijl de ander dit weigert.
 
Ozzie PHP

Ozzie PHP

03/05/2011 21:04:08
Quote Anchor link
Het schijnt in ieder geval vaker voor te komen...

http://www.google.nl/search?q=php+exec+security
 
Kees Schepers

kees Schepers

03/05/2011 22:04:19
Quote Anchor link
Als ik jullie was, en je dit soort trucjes wilt uithalen is overstappen van hosting op VPS, wat vaak voor niet al teveel geld al mogelijk is. Je hebt dan voor een klein bedrag per maand/jaar al een eigen server waarbij je helemaal je gang kan gaan.

Ik kan het van hosters zeer goed begrijpen dat ze dit uitzetten omdat het erg gevaarlijk is. Echter als je rechten op apache user goed geconfigureerd dan kun je de veiligheidsrisico's goed beperken en bovendien moet je zeer voorzichtig zijn met het invoegen van dynamische (user-input) variabelen in commando's en moet je deze altijd escapen met escapeshellarg bijvoorbeeld.
 



Overzicht Reageren

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.