Nerijus Kislauskas rašė:
> On 03/22/2012 05:49 PM, Laimis wrote:
>> http://www.hardened-php.net/suhosin/
>
> Galima detaliau? Ką radau naudingo:
>
> suhosin.executor.include.whitelist
> suhosin.executor.include.blacklist
> Kala į klyną include() ir require(). Kaip su lokaliais failais? Ar
> galima taikyti schemą "draudžiama kas nėra leidžiama"?

Reikia skaityti ir nagrinėti. Aš matau, kad neįjungus whitelist'o, 
tikrai kala į klyną (uždraudžiami visi url wrapper'iai). O kaip 
filtruosi L7 pagal URL, jei neturėsi whitelist'o? Taigi, whitelist'as 
gali būti ir suhosin'e. Aš nenaudoju, tačiau kiek leidžia teigti 
paviršutiniškas dokumentacijos ir source'o peržiūrėjimas, tai 
whitelist'e/blacklist'e galima nurodyti url'o dalį (t.y. domeną, jo dalį).
O ką lokalūs failai? Įtrauksi į whitelist'ą schemą file:// ir ramu.

>
> suhosin.executor.eval.whitelist
> suhosin.executor.eval.blacklist
> suhosin.executor.disable_eval
> Kala į klyną eval(). Gali būti gero softo, parašyto su eval().

Nekala, jei leidi be jokių išimčių...
(o tai konfigūravimo dalykas; jei nėra nei whitelits'o, nei blacklist'o, 
tai niekas ir nedraudžiama)


>
> suhosin.executor.func.whitelist
> suhosin.executor.func.blacklist
> Kala į klyną kai kurioms nepageidaujamoms funkcijoms. Kaip jas išrinkti?

O kaip išrenki dabar...?

> Kaip su fopen(), file_get_contents() ir kt.? Kažkaip man logiškiausias
> būdas būdų L7 filtravimas pagal URL.

suhosin'as pakeičia zend_stream_open_function(). Mano paviršutinišku 
supratimu, tai įtakoja visus URL wrapper'ius (t.y. visas php funkcijas, 
kuriose jie naudojami).