İsim | Öntanımlı | Değişklik Yeri | Sürüm Bilgisi |
---|---|---|---|
safe_mode | "0" | PHP_INI_SYSTEM | Bu kullanımı önerilmeyen özellik gelecekte kesinlikle KALDIRILACAKTIR. |
safe_mode_gid | "0" | PHP_INI_SYSTEM | PHP 4.1.0'dan beri kullanılabilmektedir. Bu kullanımı önerilmeyen özellik gelecekte kesinlikle KALDIRILACAKTIR. |
safe_mode_include_dir | NULL | PHP_INI_SYSTEM | PHP 4.1.0'dan beri kullanılabilmektedir. Bu kullanımı önerilmeyen özellik gelecekte kesinlikle KALDIRILACAKTIR. |
safe_mode_exec_dir | "" | PHP_INI_SYSTEM | Bu kullanımı önerilmeyen özellik gelecekte kesinlikle KALDIRILACAKTIR. |
safe_mode_allowed_env_vars | "PHP_" | PHP_INI_SYSTEM | Bu kullanımı önerilmeyen özellik gelecekte kesinlikle KALDIRILACAKTIR. |
safe_mode_protected_env_vars | "LD_LIBRARY_PATH" | PHP_INI_SYSTEM | Bu kullanımı önerilmeyen özellik gelecekte kesinlikle KALDIRILACAKTIR. |
Yapılandırma yönergelerinin kısa açıklamalarını aşağıda bulabilirsiniz.
safe_mode
boolean
PHP'nin güvenli kipinin etkin olup olmayacağı. PHP --enable-safe-mode seçeneği ile derlenmişse öntanımlı olarak On (etkin), aksi takdirde Off'tur (etkisiz).
Bu özelliğin kullanımı PHP 5.3.0'dan beri ÖNERİLMEMEKTEDİR ve PHP 6.0.0'da tamamen KALDIRILMIŞTIR. Bu özelliğe kesinlikle güvenmemelisiniz.
safe_mode_gid
boolean
Dosya erişiminde UID (FALSE
) veya
GID (TRUE
) denetimi yapılıp yapılmayacağı.
Öntanımlı olarak güvenli kipte, dosyalar açılırken bir kullanıcı
kimliği (UID) karşılaştırması yapılır. Bunu grup kimliğini (GID)
denetleterek esnetmek isterseniz safe_mode_gid
yönergesine On değerini atayabilirisiniz.
safe_mode_include_dir
string
UID/GID denetimleri bu dizinde ve alt dizinlerinde es geçilir. (Dizinin ya tam yolu belirtilmeli ya da include_path yönergesinde de belirtilmelidir).
PHP 4.2.0'dan beri, bu yönergede include_path yönergesinde olduğu gibi, tek bir dizin belirtmek yerine aralarına ikinokta imi (Windows'da noktalı virgül imi) koymak suretiyle birden fazla dizin belirtilebilmektedir. Belirtilen dizinin sonuna bir bölü çizgisi konmadıkça dizin ismi bir önek olarak değerlerdirilir. Örneğin, "safe_mode_include_dir = /dir/incl" ile (varsa) hem "/dir/include" hem de "/dir/incls" dizini belirtilmiş olur. "safe_mode_include_dir = /dir/incl/" durumunda ise sadece /dir/incl dizini belirtilmiş olur. Bu yönergede boş değer belirtilirse PHP 4.2.3 ve PHP 4.3.3'ten itibaren farklı UID/GID'e sahip hiçbir dosya dahil edilmez. Önceki sürümlerde tüm dosyalar dahil edilirdi.safe_mode_exec_dir
string
PHP güvenli kipte kullanılıyorsa system() ve sistem programlarını çalıştırılan diğer işlevlerin bu dizinde olmayan programları çalıştırmasına izin verilmez. Windows dahil tüm ortamlarda dizin ayracı olarak / kullanmanız gerekir.
safe_mode_allowed_env_vars
string
Bazı ortam değişkenlerinin kullanımı güvenlik açığı riski içerir. Bu yönergede virgül ayraçlı bir liste olarak önekler belirtilir. Güvenli kipte, kullanıcıların sadece bu yönergede önekleri belirtilen ortam değişkenlerini değiştirmelerine izin verilir. Kullanıcılar öntanımlı olarak sadece PHP_ ile başlayan ortam değişkenlerinde değişiklik yapabilirler (PHP_FOO=BAR gibi).
Bilginize:
Bu yönergede boş değer belirtilmişse kullanıcıların tüm ortam değişkenlerinde değişiklik yapmalarına izin verilir!
safe_mode_protected_env_vars
string
Bu yönergede, son kullanıcının putenv() kullanarak değiştiremeyeceği ortam değişkenleri virgül ayraçlı bir liste olarak belirtilir. Bu değişkenlerin önekleri safe_mode_allowed_env_vars yönergesinde belirtilmiş olsalar dahi, değiştirilmelerine izin verilmez.
Ayrıca bakınız: open_basedir, disable_functions, disable_classes, register_globals, display_errors ve log_errors.
safe_mode yönergesinin değeri On olduğu takdirde, PHP, betik sahibinin üzerinde çalışılan dosya veya dizin sahibiyle eşleşip eşleşmediğini denetler. Örneğin,
<?php
readfile('/etc/passwd');
?>
-rw-rw-r-- 1 rasmus rasmus 33 Jul 1 19:20 betik.php -rw-r--r-- 1 root root 1116 May 26 18:01 /etc/passwd
Warning: SAFE MODE Restriction in effect. The script whose uid is 500 is not allowed to access /etc/passwd owned by uid 0 in /docroot/betik.php on line 2
Bununla birlikte, kesin UID sınamasının uygun olmadığı, esnek GID sınamasının yeterli olduğu sistemler olabilir. Bu durum, safe_mode_gid yönergesi ile sağlanabilir. Bu yönergeye On değeri vererek esnek GID sınaması, Off değeri (öntanımlıdır) vererek UID sınaması yaptırmak mümkündür.
safe_mode yönergesini etkin kılmak yerine, tüm dosya işlemlerini belli bir dizin altındaki dosyalarla sınırlamak için open_basedir yönergesini kullanabilirsiniz. Örneğin, bunu Apache httpd.conf dosyasında şöyle yapabilirsiniz:
<Directory /docroot> php_admin_value open_basedir /docroot </Directory>
Warning: open_basedir restriction in effect. File is in wrong directory in /docroot/betik.php on line 2
Ayrıca, işlevleri tek tek de iptal etmek mümkündür. Ancak, disable_functions yönergesi php.ini dosyası dışında kullanılamaz. Yani, bazı işlevlere erişimi, httpd.conf dosyanızda sanal konak veya dizin temelinde yasaklayamazsınız. php.ini dosyanızda şöyle bir satır varsa:
disable_functions = readfile,system
Warning: readfile() has been disabled for security reasons in /docroot/betik.php on line 2
Şüphesiz, bu PHP kısıtlamaları çalıştırılabilir dosyalar için geçerli değildir.