pb de configuration : directives php.ini pas toutes prise en compte !
3 réponses
Vincent Verdon
Bonsoir,
enseignant en info, j'essaie de monter une manip pour mettre en évidence
l'injection SQL. Pour cela, je dois désactiver les magic quotes, qui
sont de toute façon voués à disparaître.
Sur une de mes machine en PHP5.4, les magic quotes ne sont naturellement
pas actifs.
Sur une autre, en PHP5.3 sous Debian Squeeze, ils sont actifs. Je
modifie donc dans php.ini (celui pour apache2) mais rien ne change après
redémarrage d'Apache.
Je dois ajouter que cela a été le cas (sur toutes les machines) quand
j'ai essayé de désactiver l'option allow_url_include pour montrer la
faille d'inclusion...
C'est comme si la modification de certaines directives étaient prises en
compte (par l'affichage ou non des erreurs), mais pas certaines autres.
La config du php.ini est-elle écrasée par une autre, ailleurs ???
Je sèche...
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Denis Beauregard
Le Sat, 22 Sep 2012 00:31:45 +0200, Vincent Verdon écrivait dans fr.comp.lang.php:
Bonsoir,
enseignant en info, j'essaie de monter une manip pour mettre en évidence l'injection SQL. Pour cela, je dois désactiver les magic quotes, qui sont de toute façon voués à disparaître. Sur une de mes machine en PHP5.4, les magic quotes ne sont naturellement pas actifs. Sur une autre, en PHP5.3 sous Debian Squeeze, ils sont actifs. Je modifie donc dans php.ini (celui pour apache2) mais rien ne change après redémarrage d'Apache. Je dois ajouter que cela a été le cas (sur toutes les machines) quand j'ai essayé de désactiver l'option allow_url_include pour montrer la faille d'inclusion... C'est comme si la modification de certaines directives étaient prises en compte (par l'affichage ou non des erreurs), mais pas certaines autres. La config du php.ini est-elle écrasée par une autre, ailleurs ??? Je sèche...
Pourquoi ne pas faire la recherche sur le disque, tout simplement ? Il peut y avoir plusieurs php.ini si mes souvenirs sont bons.
Denis
Le Sat, 22 Sep 2012 00:31:45 +0200, Vincent Verdon
<vincent.verdon@laposte.net> écrivait dans fr.comp.lang.php:
Bonsoir,
enseignant en info, j'essaie de monter une manip pour mettre en évidence
l'injection SQL. Pour cela, je dois désactiver les magic quotes, qui
sont de toute façon voués à disparaître.
Sur une de mes machine en PHP5.4, les magic quotes ne sont naturellement
pas actifs.
Sur une autre, en PHP5.3 sous Debian Squeeze, ils sont actifs. Je
modifie donc dans php.ini (celui pour apache2) mais rien ne change après
redémarrage d'Apache.
Je dois ajouter que cela a été le cas (sur toutes les machines) quand
j'ai essayé de désactiver l'option allow_url_include pour montrer la
faille d'inclusion...
C'est comme si la modification de certaines directives étaient prises en
compte (par l'affichage ou non des erreurs), mais pas certaines autres.
La config du php.ini est-elle écrasée par une autre, ailleurs ???
Je sèche...
Pourquoi ne pas faire la recherche sur le disque, tout simplement ?
Il peut y avoir plusieurs php.ini si mes souvenirs sont bons.
Le Sat, 22 Sep 2012 00:31:45 +0200, Vincent Verdon écrivait dans fr.comp.lang.php:
Bonsoir,
enseignant en info, j'essaie de monter une manip pour mettre en évidence l'injection SQL. Pour cela, je dois désactiver les magic quotes, qui sont de toute façon voués à disparaître. Sur une de mes machine en PHP5.4, les magic quotes ne sont naturellement pas actifs. Sur une autre, en PHP5.3 sous Debian Squeeze, ils sont actifs. Je modifie donc dans php.ini (celui pour apache2) mais rien ne change après redémarrage d'Apache. Je dois ajouter que cela a été le cas (sur toutes les machines) quand j'ai essayé de désactiver l'option allow_url_include pour montrer la faille d'inclusion... C'est comme si la modification de certaines directives étaient prises en compte (par l'affichage ou non des erreurs), mais pas certaines autres. La config du php.ini est-elle écrasée par une autre, ailleurs ??? Je sèche...
Pourquoi ne pas faire la recherche sur le disque, tout simplement ? Il peut y avoir plusieurs php.ini si mes souvenirs sont bons.
Denis
Vincent Verdon
Bonsoir,
Le 22/09/2012 00:49, Denis Beauregard a écrit :
Pourquoi ne pas faire la recherche sur le disque, tout simplement ? Il peut y avoir plusieurs php.ini si mes souvenirs sont bons.
j'ai cherché sur tout le disque. Il y en a deux, dans /etc/php5 : un pour apache et un pour cli. Comme j'utilise PHP au travers d'Apache, j'utilise le premier en toute logique. Mais rien n'y fait.
J'ai réussi à contourner le problème en modifiant l'option avec une directive placée dans un .htaccess et cela fonctionne pour le coup... Pour moi, il s'agit d'un bug.
-- Amicalement, Vincent Verdon
Bonsoir,
Le 22/09/2012 00:49, Denis Beauregard a écrit :
Pourquoi ne pas faire la recherche sur le disque, tout simplement ?
Il peut y avoir plusieurs php.ini si mes souvenirs sont bons.
j'ai cherché sur tout le disque.
Il y en a deux, dans /etc/php5 : un pour apache et un pour cli. Comme
j'utilise PHP au travers d'Apache, j'utilise le premier en toute
logique. Mais rien n'y fait.
J'ai réussi à contourner le problème en modifiant l'option avec une
directive placée dans un .htaccess et cela fonctionne pour le coup...
Pour moi, il s'agit d'un bug.
Pourquoi ne pas faire la recherche sur le disque, tout simplement ? Il peut y avoir plusieurs php.ini si mes souvenirs sont bons.
j'ai cherché sur tout le disque. Il y en a deux, dans /etc/php5 : un pour apache et un pour cli. Comme j'utilise PHP au travers d'Apache, j'utilise le premier en toute logique. Mais rien n'y fait.
J'ai réussi à contourner le problème en modifiant l'option avec une directive placée dans un .htaccess et cela fonctionne pour le coup... Pour moi, il s'agit d'un bug.
-- Amicalement, Vincent Verdon
Benoit
"Vincent Verdon" a écrit
Bonsoir,
enseignant en info, j'essaie de monter une manip pour mettre en
évidence
l'injection SQL. Pour cela, je dois désactiver les magic quotes, qui sont de toute façon voués à disparaître. Sur une de mes machine en PHP5.4, les magic quotes ne sont
naturellement
pas actifs. Sur une autre, en PHP5.3 sous Debian Squeeze, ils sont actifs. Je modifie donc dans php.ini (celui pour apache2) mais rien ne change
après
redémarrage d'Apache. Je dois ajouter que cela a été le cas (sur toutes les machines) quand j'ai essayé de désactiver l'option allow_url_include pour montrer la faille d'inclusion... C'est comme si la modification de certaines directives étaient prises
en
compte (par l'affichage ou non des erreurs), mais pas certaines
autres.
La config du php.ini est-elle écrasée par une autre, ailleurs ??? Je sèche...
Est-ce que ton PHP est patché suhosin ?
Voir dans /etc/php5/conf.d si il existe un suhosin.ini, c'est le fichier de config du patch qui permet de désactiver beaucoup de trous de sécurité.
Pour le allow_url, le patch empêche toute inclusion en dehors d'un fichier local. Il faut alors utiliser le suhosin.executor.include.whitelist en mettant la liste des débuts d'urls sur lequelles un include est permi.
voir ici : http://www.hardened-php.net/suhosin.
-- Benoit
"Vincent Verdon" a écrit
Bonsoir,
enseignant en info, j'essaie de monter une manip pour mettre en
évidence
l'injection SQL. Pour cela, je dois désactiver les magic quotes, qui
sont de toute façon voués à disparaître.
Sur une de mes machine en PHP5.4, les magic quotes ne sont
naturellement
pas actifs.
Sur une autre, en PHP5.3 sous Debian Squeeze, ils sont actifs. Je
modifie donc dans php.ini (celui pour apache2) mais rien ne change
après
redémarrage d'Apache.
Je dois ajouter que cela a été le cas (sur toutes les machines) quand
j'ai essayé de désactiver l'option allow_url_include pour montrer la
faille d'inclusion...
C'est comme si la modification de certaines directives étaient prises
en
compte (par l'affichage ou non des erreurs), mais pas certaines
autres.
La config du php.ini est-elle écrasée par une autre, ailleurs ???
Je sèche...
Est-ce que ton PHP est patché suhosin ?
Voir dans /etc/php5/conf.d si il existe un suhosin.ini, c'est le fichier
de config du patch qui permet de désactiver beaucoup de trous de
sécurité.
Pour le allow_url, le patch empêche toute inclusion en dehors d'un
fichier local. Il faut alors utiliser le
suhosin.executor.include.whitelist en mettant la liste des débuts d'urls
sur lequelles un include est permi.
enseignant en info, j'essaie de monter une manip pour mettre en
évidence
l'injection SQL. Pour cela, je dois désactiver les magic quotes, qui sont de toute façon voués à disparaître. Sur une de mes machine en PHP5.4, les magic quotes ne sont
naturellement
pas actifs. Sur une autre, en PHP5.3 sous Debian Squeeze, ils sont actifs. Je modifie donc dans php.ini (celui pour apache2) mais rien ne change
après
redémarrage d'Apache. Je dois ajouter que cela a été le cas (sur toutes les machines) quand j'ai essayé de désactiver l'option allow_url_include pour montrer la faille d'inclusion... C'est comme si la modification de certaines directives étaient prises
en
compte (par l'affichage ou non des erreurs), mais pas certaines
autres.
La config du php.ini est-elle écrasée par une autre, ailleurs ??? Je sèche...
Est-ce que ton PHP est patché suhosin ?
Voir dans /etc/php5/conf.d si il existe un suhosin.ini, c'est le fichier de config du patch qui permet de désactiver beaucoup de trous de sécurité.
Pour le allow_url, le patch empêche toute inclusion en dehors d'un fichier local. Il faut alors utiliser le suhosin.executor.include.whitelist en mettant la liste des débuts d'urls sur lequelles un include est permi.