Bonjour,
Je me pose une question concernant la sécurité d’un serveur web.
Qu’est-ce qui est mieux entre utiliser un “CGI-BIN” ou la fonction “EXEC” (avec l’activation de safe_mode) dans un script PHP ?
Merci pour vos avis…
Tu veux faire quoi au juste?
Si tu parles de démarrer php en tant que cgi-bin, c’est déconseillé (pour des raisons de sécurités, perfs, cf. install.txt fourni avec php)
Sinon exec est sécurisé, mais pas les utilisations qu’on en fait.
exec( ‘foo xxx’ ); est sécurisé
pas
exec( 'foo ’ . $_POST[‘args’] );
Simplement parce que les POST/GET/COOKIE viennent de l’extérieur.
J’ai besoin d’exécuter des commandes systèmes comme exec(‘foo xxx’) tout en garatissant le maximum de sécurité.
D’où ma question.
exec (ou eval) restent sécurisées tant que tu n’injectes pas de données non controlées (= en qui tu as confiance).
OK, merci!