pb de configuration : directives php.ini pas toutes prise en compte !

Le
Vincent Verdon
Bonsoir,

enseignant en info, j'essaie de monter une manip pour mettre en évidence
l'injection SQL. Pour cela, je dois désactiver les magic quotes, qui
sont de toute façon voués à disparaître.
Sur une de mes machine en PHP5.4, les magic quotes ne sont naturellement
pas actifs.
Sur une autre, en PHP5.3 sous Debian Squeeze, ils sont actifs. Je
modifie donc dans php.ini (celui pour apache2) mais rien ne change après
redémarrage d'Apache.
Je dois ajouter que cela a été le cas (sur toutes les machines) quand
j'ai essayé de désactiver l'option allow_url_include pour montrer la
faille d'inclusion
C'est comme si la modification de certaines directives étaient prises en
compte (par l'affichage ou non des erreurs), mais pas certaines autres.
La config du php.ini est-elle écrasée par une autre, ailleurs ???
Je sèche


--
Amicalement, Vincent Verdon
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Denis Beauregard
Le #24801672
Le Sat, 22 Sep 2012 00:31:45 +0200, Vincent Verdon

Bonsoir,

enseignant en info, j'essaie de monter une manip pour mettre en évidence
l'injection SQL. Pour cela, je dois désactiver les magic quotes, qui
sont de toute façon voués à disparaître.
Sur une de mes machine en PHP5.4, les magic quotes ne sont naturellement
pas actifs.
Sur une autre, en PHP5.3 sous Debian Squeeze, ils sont actifs. Je
modifie donc dans php.ini (celui pour apache2) mais rien ne change après
redémarrage d'Apache.
Je dois ajouter que cela a été le cas (sur toutes les machines) quand
j'ai essayé de désactiver l'option allow_url_include pour montrer la
faille d'inclusion...
C'est comme si la modification de certaines directives étaient prises en
compte (par l'affichage ou non des erreurs), mais pas certaines autres.
La config du php.ini est-elle écrasée par une autre, ailleurs ???
Je sèche...



Pourquoi ne pas faire la recherche sur le disque, tout simplement ?
Il peut y avoir plusieurs php.ini si mes souvenirs sont bons.


Denis
Vincent Verdon
Le #24805852
Bonsoir,

Le 22/09/2012 00:49, Denis Beauregard a écrit :

Pourquoi ne pas faire la recherche sur le disque, tout simplement ?
Il peut y avoir plusieurs php.ini si mes souvenirs sont bons.




j'ai cherché sur tout le disque.
Il y en a deux, dans /etc/php5 : un pour apache et un pour cli. Comme
j'utilise PHP au travers d'Apache, j'utilise le premier en toute
logique. Mais rien n'y fait.

J'ai réussi à contourner le problème en modifiant l'option avec une
directive placée dans un .htaccess et cela fonctionne pour le coup...
Pour moi, il s'agit d'un bug.

--
Amicalement, Vincent Verdon
Benoit
Le #24818092
"Vincent Verdon" a écrit
Bonsoir,

enseignant en info, j'essaie de monter une manip pour mettre en


évidence
l'injection SQL. Pour cela, je dois désactiver les magic quotes, qui
sont de toute façon voués à disparaître.
Sur une de mes machine en PHP5.4, les magic quotes ne sont


naturellement
pas actifs.
Sur une autre, en PHP5.3 sous Debian Squeeze, ils sont actifs. Je
modifie donc dans php.ini (celui pour apache2) mais rien ne change


après
redémarrage d'Apache.
Je dois ajouter que cela a été le cas (sur toutes les machines) quand
j'ai essayé de désactiver l'option allow_url_include pour montrer la
faille d'inclusion...
C'est comme si la modification de certaines directives étaient prises


en
compte (par l'affichage ou non des erreurs), mais pas certaines


autres.
La config du php.ini est-elle écrasée par une autre, ailleurs ???
Je sèche...



Est-ce que ton PHP est patché suhosin ?

Voir dans /etc/php5/conf.d si il existe un suhosin.ini, c'est le fichier
de config du patch qui permet de désactiver beaucoup de trous de
sécurité.

Pour le allow_url, le patch empêche toute inclusion en dehors d'un
fichier local. Il faut alors utiliser le
suhosin.executor.include.whitelist en mettant la liste des débuts d'urls
sur lequelles un include est permi.

voir ici : http://www.hardened-php.net/suhosin.

--
Benoit
Publicité
Poster une réponse
Anonyme