Je commence à gérer un VPS, et j'ai lu que je devrais désactiver la fonction ini_set(). Mais je n'ai pas trouvé d'explication correcte sur la raison pour laquelle je devrais faire cela. Une bonne raison bien expliquée ?
L'un des principaux avantages est qu'il prive le développeur de la possibilité de modifier les paramètres php que l'administrateur système a pu définir pour des raisons de sécurité ou de stabilité.
Je reçois souvent du code de développeurs qui ont utilisé ini_set pour modifier la journalisation ou le rapport d'erreur, vous ne voulez pas avoir une erreur accidentelle. display_errors On en production
Un hacker peut-il exploiter les capacités de cette fonction ? Peut-elle constituer un problème de sécurité ?
Oui, potentiellement, si le développeur qui a créé le code autorise l'utilisation d'une forme d'entrée utilisateur (exemple : données POST, paramètre de chaîne de requête) lors de l'appel de ini_set(). Par défaut, non. Mais si un utilisateur, en manipulant les données d'entrée de l'utilisateur, pourrait activer par exemple display_error et pourrait alors avoir un aperçu de votre application ou des données de l'application.
SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.
