אני בונה מערכת PHP שרצה (בנתיים)על מנדרייק 10 ושרתapache2 ,
כתבתי קוד שמציג את כל הקבצים בתיקיה מסויים,לדוגמא אם אני נימצאה בכתובת index.php הקבוץ עצמו נימצא ב /var/www/html הוא יציג את כל הקבצים והתקיות ששם,אבל אם המשתמש לוחץ על שם של תיקיה הוא רואה את הקבצים שיש בתוכה על ידי ערך שמועבר על ידי ה URL ככה:
index.php?pache=/Test
הוא יראה בדף הזה את כל הקבצים שנימצאים בתוך /var/www/htm/lTest,
הבעייה היא שאם משנים את הכתובת ל
index.php?patch=/ רואים את כל הקבצים שנימצאים במחיצת השורש שלי (/),
הבנתי שכל השרת רץ על משתמש שניקרא apache,חשבתי שאם אני אתן לו הרשאות קריאה רק ל /var/www/html הוא לא יכול ליקרוא את הקבצים שיש לי ב /,אז יש לי שני שאלות:
1)האם זה יעזור?
2)אם כן יעזור,איך לבצע את זה?
תודה!

ראשית כל, אני מקווה שאתה מבין אילו בעיות אבטחה פוטנציאליות נובעות מדרך העברת הפרמטרים שלך. אסור לך להשתמש ישירות בקלט מהמשתמש לפעולות כאילו. אתה חייב לוודא קודם לכן שהערך חוקי.

דוגמה לשלושה קלטים בעייתיים:

index.php?pache=../../../etc/passwd
index.php?pache=http://ynet.co.il/ ‎
index.php?pache=http://host_to_scan:port_to_scan/ ‎

מומלץ לקרוא את http://www.securereality.com.au/studyinscarlet.txt , למרות שהוא קצת ישן.

בכל מקרה לאותו משתמש חייבת להיות הרשאת קריאהלפחות לסקריפט שלך.