问题标签 [suhosin]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
3 回答
18419 浏览

php - 没有 Suhosin 的 php 5.4 是否安全?

我目前正在开发一个最终将在商业上可用的 PHP CMF,我想使用特征。然而问题在于,trait 是 PHP 5.4 的一个特性,而且很明显流行的 Suhosin 安全补丁与 PHP 5.4 不兼容。

所以我的问题是:在没有 Suhosin 安全补丁的情况下运行 PHP 网站是否安全?如果不是,我会给自己和其他使用我的 CMF 的人留下哪些漏洞?

注意:我不关心共享主机。预计使用我的 CMF 的任何人都可以对其 Web 服务器进行管理控制。

0 投票
0 回答
499 浏览

ubuntu - 无法在 Ubuntu 服务器上获取适用于 PHP 的 AWS 开发工具包

我一直在尝试安装 AWS SDK 并在我的 EC2 实例上工作。我正在运行 Ubuntu 服务器,并尝试aws.phar在我的代码中要求该文件并通过 PEAR 安装。无论哪种方式,我都会收到以下错误:

要求 SDK 没有错误这一事实让我认为这是安装页面上所述的 suhosin 配置问题。问题是,我在服务器上的任何地方都没有 suhosin.ini 文件。

如果我运行php -v它表明我确实有 suhosin:

在没有 suhosin.ini 文件的情况下,我尝试添加:

并重新php.ini启动apache。没有骰子。我安装了 composer 但尚未配置它,因为我真的不想经历设置它的所有麻烦,只是为了遇到相同的(suhosin?)问题。

问题已解决。该类不在最新版本的 SDK 中:( smh ...

0 投票
0 回答
929 浏览

php - 使用 phar 安装 aws php sdk

我正在尝试使用适用于 PHP 2 的 AWS 开发工具包在 S3 上创建文件。

通过 Phar 安装:

http://docs.aws.amazon.com/awssdkdocsphp2/latest/gettingstartedguide/sdk-php2-installing-the-sdk.html#sdk-php2-installing-via-phar

我将以下行添加到“/etc/php5/conf.d/suhosin.ini”:

我重新启动了 apache,并且 aws.phar 包含按预期工作。但是,在不进行任何更改的情况下,在进一步尝试时,服务器似乎没有发送响应,Chrome 显示“未收到数据”错误。

每次我重新启动 apache 它都会返回响应,但不会在后续加载时返回。

知道是什么原因造成的吗?

使用 Laravel、PHP 5.3.2 和 Ubuntu。

更新 无论有没有 suhosin.ini 编辑,似乎都会发生同样的事情。

即使服务器没有向 Web 浏览器返回响应,代码似乎也可以正常运行,因为它在 S3 上创建了一个文件。

0 投票
0 回答
500 浏览

php - How to disable use of special php functions on a subdirectory with suhosin extension?

I have a Website using Concrete5.

I need to allow the client to access the subpage domain\blocks.

The problem is that if the person with this permissions create a Block and put some code like:

He will get the source code the the website.

I am trying to use the suhosin extension to block some functions:

In php.ini

In httpd-xampp.conf

The problem is that this is not working. Since Concrete5 use a index.php to manage all the url connections.

Basicly when a call to url: www.domain.com/somepage/title; This is just an example, what actually is called is:

Then concrete5 translate that into the CMS and eventualy calls the block code.

Since the call is to the root of the domain, it has access to all php functions.

I just want to protect the rest of the website.

0 投票
0 回答
46 浏览

php - 没有 Suhosin 的 PHP 5

我计划从 Debian 6 (Squeeze) 升级到 7 (Wheezy),它带来了 php 5.4 并省略了 Suhosin。

不管是对是错,Suhosin 给了我一种安全感,因为它让我知道(一些)黑客尝试。例如,我注意到我的网站有很多黑客试图发送很长的 _GET 变量,而 Suhosin 阻止了这些变量。我不知道这些长变量是如何被用来破解东西的——也许是 PHP 5.4 中不再存在的漏洞?

我一直在阅读诸如“哦,别担心,Suhosin 的大量优秀内容现已在 PHP 核心中采用”之类的概括性内容​​。

谁能总结或指出PHP 5.4 中包含或不需要Suhosin 的哪些特性?

0 投票
1 回答
1300 浏览

php - suhosin 补丁专用文件日志

是否可以将 suhosin 补丁的日志从 syslog 移动到专用文件?

cron 每 5 分钟调用一次 Cacti,并尝试将内存限制设置为 -1 因此,每次调用 Cacti 时,我在 syslog 中有 2 条消息。

ALERT - 脚本试图通过将其设置为不允许的负值 -1 字节来禁用 memory_limit(攻击者'REMOTE_ADDR 未设置',文件'未知')

谢谢您的帮助

0 投票
1 回答
24588 浏览

php - PHP 将 memory_limit 提高到 128M 以上

我已经通过 aptitude 安装了带有标准 Apache 和 PHP 的 Debian Squeeze。

不,我尝试运行:

结果:128M 128M

我试图改变这种行为和一些事实:

我可以使用 phpinfo(); 验证此设置,在service apache2 restart.

为什么我不能将内存限制设置在 128M 以上?

笔记:

结果:128M 127M

亲切的问候

0 投票
2 回答
2654 浏览

php - 使用 Wordpress 的 Apache 中的分段错误

这不是一个问题……而是一个答案

问题

浏览器正在返回: “ERR_EMPTY_RESPONSE”、“未收到数据”、“连接已重置”等...

Apache 错误日志正在返回: “分段错误”

在互联网上四处寻找答案之前,在一片混乱和对 Godaddy 的抨击中,通过将 phpinfo() 函数放置在您的一个 PHP 脚本中的某个位置来检查是否安装了Suhosin 扩展。

如果您发现 Suhosin Extension 已安装,您可以很容易地将其删除:

重启阿帕奇:

在这一点上,你应该很高兴。希望这至少对一个人有所帮助。我知道我花了很多时间来寻找这个。

干杯!

0 投票
1 回答
860 浏览

php - 编辑 Suhosin 配置参数

我们有一个运行 Ubuntu LEMP 安装 (nginx) 的 Amazon EC2 实例。我们想修改几个 suhosin 配置参数。我们尝试更改 /etc/php5/cgi/conf.d/suhosin.ini 文件中的参数,但它不会更改值。加载 phpinfo 函数后,我们仍然可以看到旧的默认值。我们还将参数添加到 /etc/php5/cgi/php.ini 文件(这是由 nginx Web 服务器解析的文件)中,但无济于事。

进行上述更改后,每次都重新启动 nginx,并且 php-fpm 也重新启动。但是,我们无法更改任何 suhosin 参数的默认值。

这里需要编辑哪个文件?

0 投票
3 回答
1035 浏览

php - PHP Session Lost, suhosin 不变

在 Ubuntu 12.04、Apache2、PHP5 服务器上,安装了 suhosin 扩展。(phpinfo页面

这是通过自动更新提供最新安全更新的专用服务器。

我创建了以下测试脚本(未设置 suhosin conf的测试脚本)

错误日志显示:

其他 SO 帖子建议检查 session.cookie_secure 和 session.http_only 参数。两者都在此服务器上关闭。此外,我尝试实现关闭特定的 suhosin 设置,或者使用 suhosin.simulation=On 完全关闭 suhosin 我在 php.ini 中都试过了

此脚本返回失败。如果脚本使用 is=set 参数运行,则无法设置参数(测试脚本 2

在另一台专用服务器上,测试脚本工作正常,即。https url 获取会话变量,但是此服务器是 Ubuntu 10.04。

知道下一步该怎么做吗?