Script d'upload php a accès à tout le disque dur!

Signaler
Messages postés
2
Date d'inscription
jeudi 30 mai 2002
Statut
Membre
Dernière intervention
3 octobre 2004
-
Messages postés
9433
Date d'inscription
mardi 9 octobre 2001
Statut
Membre
Dernière intervention
13 avril 2007
-
Bonjour!
j'ai un gros probleme. je suis le webmaster d'un site d'hébergement gratuit et sans pub. un utilisateur a ouvert un compte et a uploadé un script php d'upload de fichiers.

quand il l'utilise, il a accès à tous les autres comptes, ainsi qu'a la racine du disque dur. il s'amuse à changer la page principale de mon site tous les jours. quand je vire son compte, il en créé un autre et recommence, il redirige mes visiteurs vers son site de hackers.

je sais qu'on peut configurer php.ini pour qu'un script n'ait accès qu'au répertoire dans lequel il se trouve, et ne puisse pas remonter dans l'arborescence. les htaccess ne fonctionnent pas dans ce cas la, je ne peux pas mettre de htaccess dans le dossier www...

aidez moi à configurer php.ini pour que ca s'arrête!!!! svp svp svp svp

jean-nicolas

3 réponses

Messages postés
369
Date d'inscription
samedi 4 septembre 2004
Statut
Membre
Dernière intervention
20 octobre 2013

Waouuuuuuu !!! C'est qui ca ton hebergeur ???

Laurent
http://phpsources.net
Messages postés
9433
Date d'inscription
mardi 9 octobre 2001
Statut
Membre
Dernière intervention
13 avril 2007
8
Salut ;-)

Mets "l'open base_dir" à On et le "safe_mode" à On

a ++

http://www.vulgarisation-informatique.com : entraide, dépannage et vulgarisation informatique
Messages postés
9433
Date d'inscription
mardi 9 octobre 2001
Statut
Membre
Dernière intervention
13 avril 2007
8
Oubli :

ensuite configure ton serveur FTP pour mettre le "default path" (ou "default root" sur ~)

a ++

http://www.vulgarisation-informatique.com : entraide, dépannage et vulgarisation informatique