问题标签 [suhosin]

我一直在测试一些 php 脚本的安全性，并发现除其他外，suhosin 删除了一个巨大的已发布变量......这很好且可取，但我希望我的脚本能够告诉那suhosin改变了请求。

suhosin 是否留下任何指纹以表明采取了某些行动——以脚本可以检测到的方式？我猜它不能触发类似的东西E_USER_WARNING，因为它会在脚本运行之前被抛出并​​且可以捕获它。也许是环境或特殊的全局变量？

我自己尝试了一些方法，但没有看到任何东西......也许需要配置 suhosin 来执行此操作？我发现 suhosin 文档很难理解。

我正在为 PHP 5.3.8 构建一个自定义 PHP rpm。不幸的是，suhosin 的下载站点没有 0.9.10 5.3.8 补丁，而他们有 5.3.7 (http://www.hardened-php.net/suhosin/download.html)。

查看 PHP.net 的 5.3.7 变更日志，5.3.8 几乎没有变化，主要修复了 5.3.7 中的一些问题。有谁知道将 5.3.7 suhosin 补丁部署到 5.3.8 是否安全，因为这两个 PHP 构建如此相似？

我看到一些像 CentOS 这样的发行版有一个 PHP 5.3.8 包和 suhosin 补丁 0.9.10，所以我假设他们已经设法让它以某种方式工作。

干杯，

蒂姆

在 phpmyadmin 它说...

“suhosin.log.* 不应该包含 SQL，否则你会变得很慢”

如何在 php.ini 中完全禁用 suhosin.log？

谢谢

谁能告诉我这些违规行为是什么意思？或者至少给我指出一个有用的资源。

我写的一个应用程序直到昨天都运行良好。经过进一步调查，我从托管公司得到了以下信息。I have seen the offending rules to be 340006 and 340007.

我很快就去了 hardened-PHP 网站了解它的含义。在我得到的故障排除页面上：

此页面稍后将包含有关其他扩展程序问题的信息。

我适当地点击了支持论坛链接并得到：

我们正在移动这个网站。因此论坛暂时停止维护。请过几天再试。

啊问题。甚至谷歌搜索也无法帮助我。

_{^{注意：根据需要添加诅咒、尖叫和踢腿:)。}}

首先我的设置：PHP 5.3.2 - 使用 Suoshin 和 xCache lighttpd/1.4.26

我的代码太多了，无法在此处发布。我会描述它。

文件 x.php 正在加载一些 PHP - Classe，初始化它们，执行一些函数 -> 获取 Result 数组。

如果我 print_r 这个数组，我会得到一个完整的结果。

但是我已经使用了 json_encode，它每次都会在同一个位置切割它。-> json 变得无效。
示例：print_r-

json -

错误日志显示以下内容：

问题是我如何跟踪错误？或者有人知道什么问题吗？

我正在将 API 系统集成到我的网站中，但是我从 Google chrome 的控制台收到了这条消息： XMLHttpRequest cannot load https://api.mysocialsync.com/。Access-Control-Allow-Origin 不允许来源https://www.mysocialsync.com 。

现在幸运的是，我知道该错误意味着什么，并且我尝试解决它（也在其他 stackoverflow 页面的帮助下），但没有一个解决方案有效，甚至

没有成功。

不幸的是，我没有想法，我希望这里有人可以解决这个问题。

我的服务器正在使用 suhosin 运行 PHP5。

我的 /var/log/messages 中有很多 suhosin 错误

php.ini这是我在文件中的 suhosin 配置

那么我该如何解决这个问题呢？我试图提高上述所有值，但它也不起作用。

我有一个 PHP 脚本，它需要随机化一个具有一致结果的数组，因此它可以将前几个项目呈现给用户，然后如果他们愿意，他们可以从同一个洗牌集中提取更多结果。

我目前使用的是这个（基于我相信的 Fisher Yates 算法）：

这在我的本地安装上运行良好，但它需要运行的服务器安装了 Suhosin，它覆盖了 mt_srand，这意味着种子被忽略，数组只是随机打乱，用户得到重复的结果。

我在 Google 上找到的所有内容都表明我需要禁用 suhosin.mt_srand.ignore（和 suhosin.srand.ignore，但不确定后者是否相关）所以我将以下内容放入 .htaccess 中：

我无法访问此服务器上的 php.ini，所以 AFAIK 这是我能做到的唯一方法。问题是没有效果 - phpinfo() 仍然将两个设置都显示为 On，而我可以使用 .htaccess 更改其他 Suhosin 设置没有问题。

所以我想我正在寻找的是一种实际禁用 suhosin.mt_srand.ignore 的方法（或者它不起作用的原因），或者是一种从 PHP 中播种随机数生成器的解决方法。还是我只需要自己实现另一个 RNG？

任何帮助将非常感激。谢谢！

我想知道是否可以在不完全重新编译 php 库的情况下为 php 安装 Suhosin。我环顾四周，只能找到 Linux 和其他 Windows 替代品的资源。我确实偶然发现了一个 Windows 资源，但它需要在启用 Suhosin 的情况下重新编译 php，有没有办法在现有的已编译 php 库上执行此操作？

我尝试php -f suhosin-patch-5.3.9-0.9.10.patch在 cmd 中提供控制台输出，但没有编译实际文件，因此此时无法安装扩展。

这是 Windows 资源： http ://board.deioncube.in/showthread.php?tid=96

谢谢。

我最近购买了一个虚拟服务器，以便将其用作我的站点的阶段开发，该站点基于论坛脚本 (ipb)。

问题是在安装之前和之后，ipb 向我显示了一些关于 suhostin 限制的消息。例如

对于这两种情况，它都说这些设置在我的 php.ini 上。查了一下，里面没有提到suhosin。但是我在 /etc/php5/conf.d/suhosin.ini 找到了它们，然后我继续并用正确的值更改了它们。

问题是我不断收到错误消息，当我加载 phpinfo 时，我看到旧值仍然存在。我重新启动了 apache，甚至重新启动了服务器，但即使我编辑 suhosin.ini 文件并看到我的编辑内容，suhosin 仍然具有旧值。

谁能解释我做错了什么？我什至将这些行添加到 php.ini 但仍然没有任何改变。

谢谢