Hello,
Hallo,
Nr. 1:
<?php ### session_check.php
$_return = glob('/var/lib/php5/sess_*');
echo "<pre>\r\n";
echo htmlspecialchars(print_r($_return,1));
echo "</pre>\r\n";?>
Das liefert mir eine leere Seite (also das pre-Tag ohne Inhalt). Die Anführungszeichen vor htmlspecialchars habe ich entfernt ;-)
Ist doch eigentlich kein schlechtes Zeichen, oder?
Keine Sessions drin.
Und wenn Du vorher eine startest?
<?php ### session_check.php
session_start();
$_return = glob('/var/lib/php5/sess_*');
echo "<pre>\r\n";
echo htmlspecialchars(print_r($_return,1));
echo "</pre>\r\n";
?>
Taucht die dann wenigstens dort auf?
Aber wenn ich es genauer betrachte, können die Sessions gar nicht dort gespeichert werden, da der Pfad nämlich in open_basedir gar nicht aufgeführt ist. Und beim Session-Handler greift die open_basedir-Restriktion. So kannst Du eigentlich gar keine Sessions speichern.
Dass Glob() keinen Fehler und kein Ergebnis liefert, liegt an der Bauweise von glob(). Es scannt nur die für den User zugänglichen Verzeichnisse.
Wenn Du das Scan-Progrämmle la auf /usr/share/php/* ansetzen würdest, müsstest Du Ergebnisse bekommen.
Das Problem wird sowieso langsam akademisch. Ich habe heute Nachmittag im Wartezimmer vom Dok auch noch lange über Dedlfix's Post nachgedacht
https://forum.selfhtml.org/?t=209977&m=1429645
Ich bin mir nicht sicher, ob man diese Einrichtung nachhaltig "dicht" bekommt, auch wenn Du auf CGI wechslen würdest. Die anderen User haben ja immer noch die Exec-Funktion, die sich in der von ihr eröffneten Shell nicht die Bohne um die open_basedir-Restriktionen kümmert. Die können auf diese Weise alle Dateien auslesen, die dem php-prozess-Eigentümer zugänglich sind. Passwortdateien und Daten müsstest Du dann also immer so ablegen, dass nur Dein CGI-PHP-User Zugriff hat.
Fragt sich, welche Gruppe automatisch eingerichtet wird, wenn Du mittels PHP-CGI oder mittels FTP ein Verzeichnis oder eine Datei anlegst.
Ich würde mich freuen, wenn auch Dedlfix nicht so absolut von sich überzeugt wäre, sondern auch mal seine eigene These anzugreifen versuchte, also so fair wäre, mal den genauen Weg aufzuzeigen, den er gehen würde und dann veruschen würde, in seine eigene Idee ein Loch zu bohren. Wenn er das nicht schafft und wir auch nicht, erst dann will ich es glauben, dass es geht, auch wenn die anderen User weiterhin ihre Schrott-Einrichtung behalten.
Damit Deine Sessions überhaupt erstmal funktionieren, müss der session.save_path so eingestellt werden, dass Du ihn mit php auch beschreiben darfst. Das kannst Du hoffentlich in einer .htaccess-Datei tun
.htaccess
php_value session.save_path /var/www/vhosts/___________/httpdocs/sessions
Das Verzeichnis muss dan da sein, sonst wird es einen Fehler geben. PHP muss reinschreiben dürfen.
Du kannst den aber jetzt nur in ein Unterverzeihnis deiner htdocs verlegen. Dort musst Du dann dafür sorgen, dass dieses Verzeichnis nicht per HTTP auslesbar ist, also z.B. mit Hilfe einer .htaccess-Datei, die ein DENY enthält.
Liebe Grüße aus dem schönen Oberharz
Tom vom Berg