@trez0r.eu.org

Problemy z bezpieczeństwem w poprzedniej wersji Apache'a spowodowały, że administrator zmienił sposób korzystania z PHP na stronach WWW. Od tej pory wszystkie skrypty PHP s. traktowane jako skrypty CGI, w dodatku dzięki suexec są uruchamiane z uprawnieniami użytkownika. W celu poprawnego działania CGI autorzy stron muszą zmienić ustawienia w swoich skryptach:

skrypty muszą znajdować się w (pod)katalogu WWW
skrypty muszą być w katalogu, w którym w pliku .htaccess zostało wpisane Options +ExecCGI
(UWAGA! jeżli takiego pliku w katalogu nie ma, to trzeba go utworzyć Twoim ulubionym edytorem, np. vim lub pico -- trzeba się upewnić, że ten plik ma prawa do czytania przez wszystkich (chmod +r .htaccess))
(UWAGA! skrypty znajdujące sie w katalogu WWW/cgi-bin niepotrzebuja pliku .htaccess, ale odwołuje sie donich poprzez http://majesty.trez0r.eu.org/~użytkownik/cgibin/skrypt)
nazwy skryptów muszą się kończyć na: .php .phtml .php3 .php4 .php5 (PHP) lub .cgi (dowolny inny interpreter)
skrypty (poza PHP) muszą mieć prawa do wykonywania (chmod +x skrypt)
skrypty muszą mieć uid/gid ustawione na takie, jakie posiada użytkownik (chown `whoami`:`whoami` skrypt)
(to samo dotyczy katalogu, w którym jest skrypt)
skrypty nie mogą mieć uprawnień do zapisu przez innych (chmod go-w skrypt)
(to samo dotyczy katalogu, w którym jest skrypt)
jeźli nazwa skryptu jest inna niż .php .phtml .php3 .php4 .php5 (gdzie domyślnie jest uruchamiany interpreter PHP), to w pierwszej linii skryptu musi się znaleĽć zapis: #!/sciezka/do/interpretera

Pełen opis modelu suexec jest tu

Uwaga:

żeby sprawdzić, czy nie wystąpił błąd w PHP, należy na majesty uruchomić komendę php[3 | 4] mojskrypt.php[3 | 4 ]

Zmiany dotyczące zmiennych przekazywanych do skryptów PHP:

przekazywanie zmiennych w URL-u lub przez formularz metod. GET; w przypadku
http://majesty.trez0r.eu.org/~uzytkownik/skrypt.php?zmienna=costam
do tej pory korzystali.cie w skrypcie po prostu z zapisu $zmienna; teraz trzeba użyć (oczywi.cie dla każdej zmiennej przekazywanej w ten sposób):
```
   $zmienna=@$_GET['zmienna'];
```
przekazywanie przez formularz (POST). W przypadku formularzy, które stosowały <form method=post action=skrypt.php> trzeba skorzystać z analogicznego fragmentu:
```
   $zmienna=@$_POST['zmienna'];
```
sesje: jw., tylko tablica $_SESSION[]

leniwcy nie dbaj.cy o czysto.ć kodu mog. skorzystać z takiej sztuczki:


$VARS = array_merge($_ENV, $_GET, $_POST, $_COOKIE, $_SERVER, $_SESSION);
extract ($VARS, EXTR_SKIP);