Discussion:
pb de configuration : directives php.ini pas toutes prise en compte !
(trop ancien pour répondre)
Vincent Verdon
2012-09-21 22:31:45 UTC
Permalink
Bonsoir,

enseignant en info, j'essaie de monter une manip pour mettre en évidence
l'injection SQL. Pour cela, je dois désactiver les magic quotes, qui
sont de toute façon voués à disparaître.
Sur une de mes machine en PHP5.4, les magic quotes ne sont naturellement
pas actifs.
Sur une autre, en PHP5.3 sous Debian Squeeze, ils sont actifs. Je
modifie donc dans php.ini (celui pour apache2) mais rien ne change après
redémarrage d'Apache.
Je dois ajouter que cela a été le cas (sur toutes les machines) quand
j'ai essayé de désactiver l'option allow_url_include pour montrer la
faille d'inclusion...
C'est comme si la modification de certaines directives étaient prises en
compte (par l'affichage ou non des erreurs), mais pas certaines autres.
La config du php.ini est-elle écrasée par une autre, ailleurs ???
Je sèche...
--
Amicalement, Vincent Verdon
Denis Beauregard
2012-09-21 22:49:18 UTC
Permalink
Le Sat, 22 Sep 2012 00:31:45 +0200, Vincent Verdon
Post by Vincent Verdon
Bonsoir,
enseignant en info, j'essaie de monter une manip pour mettre en évidence
l'injection SQL. Pour cela, je dois désactiver les magic quotes, qui
sont de toute façon voués à disparaître.
Sur une de mes machine en PHP5.4, les magic quotes ne sont naturellement
pas actifs.
Sur une autre, en PHP5.3 sous Debian Squeeze, ils sont actifs. Je
modifie donc dans php.ini (celui pour apache2) mais rien ne change après
redémarrage d'Apache.
Je dois ajouter que cela a été le cas (sur toutes les machines) quand
j'ai essayé de désactiver l'option allow_url_include pour montrer la
faille d'inclusion...
C'est comme si la modification de certaines directives étaient prises en
compte (par l'affichage ou non des erreurs), mais pas certaines autres.
La config du php.ini est-elle écrasée par une autre, ailleurs ???
Je sèche...
Pourquoi ne pas faire la recherche sur le disque, tout simplement ?
Il peut y avoir plusieurs php.ini si mes souvenirs sont bons.


Denis
Vincent Verdon
2012-09-23 18:29:21 UTC
Permalink
Bonsoir,
Post by Denis Beauregard
Pourquoi ne pas faire la recherche sur le disque, tout simplement ?
Il peut y avoir plusieurs php.ini si mes souvenirs sont bons.
j'ai cherché sur tout le disque.
Il y en a deux, dans /etc/php5 : un pour apache et un pour cli. Comme
j'utilise PHP au travers d'Apache, j'utilise le premier en toute
logique. Mais rien n'y fait.

J'ai réussi à contourner le problème en modifiant l'option avec une
directive placée dans un .htaccess et cela fonctionne pour le coup...
Pour moi, il s'agit d'un bug.
--
Amicalement, Vincent Verdon
Benoit
2012-09-27 12:10:01 UTC
Permalink
"Vincent Verdon" a écrit
Post by Vincent Verdon
Bonsoir,
enseignant en info, j'essaie de monter une manip pour mettre en évidence
l'injection SQL. Pour cela, je dois désactiver les magic quotes, qui
sont de toute façon voués à disparaître.
Sur une de mes machine en PHP5.4, les magic quotes ne sont
naturellement
Post by Vincent Verdon
pas actifs.
Sur une autre, en PHP5.3 sous Debian Squeeze, ils sont actifs. Je
modifie donc dans php.ini (celui pour apache2) mais rien ne change après
redémarrage d'Apache.
Je dois ajouter que cela a été le cas (sur toutes les machines) quand
j'ai essayé de désactiver l'option allow_url_include pour montrer la
faille d'inclusion...
C'est comme si la modification de certaines directives étaient prises en
compte (par l'affichage ou non des erreurs), mais pas certaines autres.
La config du php.ini est-elle écrasée par une autre, ailleurs ???
Je sèche...
Est-ce que ton PHP est patché suhosin ?

Voir dans /etc/php5/conf.d si il existe un suhosin.ini, c'est le fichier
de config du patch qui permet de désactiver beaucoup de trous de
sécurité.

Pour le allow_url, le patch empêche toute inclusion en dehors d'un
fichier local. Il faut alors utiliser le
suhosin.executor.include.whitelist en mettant la liste des débuts d'urls
sur lequelles un include est permi.

voir ici : http://www.hardened-php.net/suhosin.
--
Benoit
Loading...