| Cas 1: Tous les fichiers sont publics <<< |
Cas 2: Utilisation de la directive de compilation --enable-force-cgi-redirect | Cas 3: Utilisation du "doc_root" ou du "user_dir" >>> |
5.1.2 Binaires CGI 5.1 Sécurité 5 Sécurité Manuel PHP . Faiblesses connues . Cas 1: Tous les fichiers sont publics ->Cas 2: Utilisation de la directive de compilation --enable-force-cgi-redirect . Cas 3: Utilisation du "doc_root" ou du "user_dir" . Cas 4: L'exécutable PHP à l'extérieur de l'arborescence du serveur |
5.1.2.3 Cas 2: Utilisation de la directive de compilation --enable-force-cgi-redirect
Cette option de compilation prévient quiconque d'appeler directement un script avec l'url http://my.host/cgi-bin/php/secretdir/script.php . Dans ce cas-là, PHP parsera le fichier uniquement s'il y a eu redirection. Habituellement, le serveur web Apache réalise une redirection grâce aux directives suivantes : Cette option a uniquement été testée avec Apache et compte sur Apache pour affecter la variable d'environnement non-standard REDIRECT_STATUS pour les requêtes redirigées. Dans le cas où votre serveur web ne supporte pas le renseignement du PHP, pour savoir si la requête a été redirigée ou non, vous ne pouvez pas utiliser cette option de compilation. Vous devez alors utiliser une des autres méthodes d'exploitation de la version binaire CGI du PHP, comme exposé ci-dessous. |
| << | Cas 2: Utilisation de la directive de compilation --enable-force-cgi-redirect | >> |
| Cas 1: Tous les fichiers sont publics | Binaires CGI | Cas 3: Utilisation du "doc_root" ou du "user_dir" |