php

[Witek Kręcicki]

----- Original Message -----
From: "Jakub Bogusz" <qboosh w pld.org.pl>
> On Wed, Feb 27, 2002 at 07:39:06PM +0100, Jakub Bogusz wrote:
> > On Wed, Feb 27, 2002 at 06:05:33PM +0100, Witek Kręcicki wrote:
> > > Z tym session.save_path to caly problem a mianowicie:
> > > Plik jest tworzony (nareszcie) z uwzglednieniem uzytkownika w
formacie:
> > > {session.save_path}/session_mm_{metoda}{UID}.sem
> > > Gdzie metoda to apache/cgi etc., UID wiadomo co...
> > > Niby wszystko dobrze ale jezeli uzytkownik A zrobi chamstwo
uzytkownikowi B
> > > (o UID 400) w stylu touch /tmp/session_mm_cgi400.sem to tamtemu sie
nie uda
> > > uruchomic php w cl.
> > > Probowalem w configu wstawic $HOME lub ~ jako session.save_path, nie
dziala.
> > > Albo jest jakies rozwiazanie albo trzeba patchowac.
> >
> > Hm... :|
> > Ale i tak jest lepiej niż było, bo da się skonfigurować bez łatania.
>
> Po przyjrzeniu to jest tak:
> php.ini ma 600 root.root, czyli jeżeli tam coś ustawimy, to nie będzie
> brane pod uwagę przy uruchomieniu z cl nie z roota.
> (swoją drogą to trochę brzydko - ten plik należy do php-common, które
> miało być nie tylko dla mod_php...)
>
> Z użytkownika można podać alternatywne php.ini przez -c (niestety
> katalog zawierający php.ini, a nie samą nazwę pliku; poza tym zawsze
> php.ini szuka w bieżącym katalogu).
> Niby opcją -d session.save_path=~/tmp można zmienić to ustawienie z cl,
> ale na semafor to nie działa (jest tworzony po obsłużeniu -c, ale przed
> -d).
>
> IMO domyślnie w php.ini nie powinno być /tmp - można zrobić /var/run/php
> 730 root.http i tam ustawić domyślne save_path; mam jeszcze wątpliwości
> co do tej grupy (bo co ma php-common do http? poza tym po odinstalowaniu
> apache grupa http zniknie[1]).
tyle ze wtedy php z cl raczej nie zadziala... moze 733 root.root?
WK