细思极恐，关于可道云和php

hobo6019

听论坛大佬推荐，用了可道云，结果看帮助发现：

Q：如何访问其他目录？
A：普通用户只能访问到自己所在的目录和群组目录；
管理员可以访问其他服务器所有目录。可以通过地址栏切换目录，也可以直接输入进入其他磁盘，例如 输入 E:/ 可以进入E盘；如果界面提示不存在，那么是由于php防跨站设置了限制，取消该限制即可。。如何设置

Q：如何限制访问其他磁盘？
A：同上个问题，可以通过配置php防跨站，指定某个站点只能访问某个目录即可。 如何设置



才发现php的权限这么大，可以访问电脑上所有的文件。尝试了一下，直接无视权限把服务器上C:/Windows/drivers/etc/hosts给拖到本地了 ，更别说拖服务器上的各种私有源码了


虽然可道云是开源的，但那个源码是深度混淆的。。。鬼知道里面是怎么运作的。。。万一某程序员默默把你的admin用户名和密码上传到某私有库，直接就可以登录你的可道云下载你的私有源码和数据库！！！！！！




防范方法是在php.ini中配置open_basedir



open_basedir string
将 PHP 所能打开的文件限制在指定的目录树，包括文件本身。本指令不受安全模式打开或者关闭的影响。

当一个脚本试图用例如 fopen() 或者 gzopen() 打开一个文件时，该文件的位置将被检查。当文件在指定的目录树之外时 PHP 将拒绝打开它。所有的符号连接都会被解析，所以不可能通过符号连接来避开此限制。

特殊值 . 指明脚本的工作目录将被作为基准目录。但这有些危险，因为脚本的工作目录可以轻易被 chdir() 而改变。

在 httpd.conf 文件中中，open_basedir 可以像其它任何配置选项一样用“php_admin_value open_basedir none”的方法关闭（例如某些虚拟主机中）。

在 Windows 中，用分号分隔目录。在任何其它系统中用冒号分隔目录。作为 Apache 模块时，父目录中的 open_basedir 路径自动被继承。

用 open_basedir 指定的限制实际上是前缀，不是目录名。也就是说“open_basedir = /dir/incl”也会允许访问“/dir/include”和“/dir/incls”，如果它们存在的话。如果要将访问限制在仅为指定的目录，用斜线结束路径名。例如：“open_basedir = /dir/incl/”。

Note:

支持多个目录是 3.0.7 加入的。

默认是允许打开所有文件。

cs10086qq

一天天的  不知道你们哪有那么多危机感

di2018

还以为发现了什么不得了的东西呢

raingoc

膜拜下.

ALPP

学习了

avi

six six six

超兽

好逗

wxchello

跨站确实可怕

王百万

这个你想多了， 这个想限制不难。

GiGaFotress

权限审核不严这种一般很容易解决的