jeszcze php 4.1.1 (fwd)
Jacek Osiecki
joshua w ceti.pl
Śro, 20 Lut 2002, 13:39:52 CET
On Sun, 17 Feb 2002, Michal Kochanowicz wrote:
> On Sun, Feb 17, 2002 at 05:48:14PM +0100, Witek Kręcicki wrote:
> > > Jeżeli już, to php uruchamiane nie jako moduł apache powinien używać
> > > $TMPDIR/php_session_mm (każdy użytkownik powinien mieć swój
> > > $TMPDIR=~/tmp), oprócz przypadku wywołania CGI z prawami http (ew. dla
> > > http ustawić TMPDIR=/var/run???). Trzeba wziąć pod uwagę, że php jako
> > > CGI może być uruchamiane z prawami różnych użytkowników (suexec).
> > to moze zmienic tego nazwe na user-php_session_mm?
> I co ci to da jak inny luser zrobi touch /tmp/twojlogin-php_session_mm?
A nie lepiej tak jak radzili na bugtraq?
czyli /tmp/php_sessions z prawami 730 http.http
Nikt sobie nie obejrzy cudzej sesji, chyba że zgadnie PHPSESSID :-)
Pozdrawiam,
--
Jacek Osiecki
joshua w ceti.pl
GG: 1522172
Więcej informacji o liście dyskusyjnej pld-devel-pl