Controversial safe_mode

safe_mode 恐怕是 php 里最有争议的环境参数了。要我说，这个参数名取得就不好，争议就难免了。safe_mode 可以设为 on / off，但并不是说 safe_mode = off 就不安全了。很多 ISP 的 shared hosting 环境下 safe_mode 也是 off 的，godaddy deluxe hosting 就是一例。

光靠 safe_mode = on 是把不住安全关的，反而会限制某些程序的正常运行，比较麻烦。尽管麻烦，尽管我不是 share hosting，但我还是喜欢最大范围内设置 safe_mode = on。

但是由于我习惯性使用 mod_php，最近才意识到 mod_php with safe_mode = on 在 php upload 时无法解决 “先有蛋或是先有鸡” 的问题，因为 apache 试图操作 user1 的目录。为了允许 apache 操作 user1 的目录，必须在 user1 的目录为 group 或 other 提供 write 权限。同理，为了允许 apache 操作 user2 的目录，必须在 user2 的目录为 group 或 other 提供 write 权限。这样一来，就很难隔离 user1 和 user2 之间相互的文件操作。

suexec 对 mod_php 无效，看来只有抛弃 mod_php，改投 FastCGI 门下。

顺便说一下，godaddy shared hosting 把 user1, user2 都归为一组，然后取消 group 读权限，允许 other （apache）读权限，虽然思路很巧妙，但有悖常规思维，通常我会认为 owner 权限 >= group 权限 >= other 权限。godaddy shared hosting 用的就是 FastCGI，不存在“鸡蛋”问题。

June 15, 2010 Discovery: PhProxy & CHtml
November 27, 2008 safe_mode
August 30, 2018 Do not run Asterisk as root user
December 23, 2015 FreePBX 13 does not work on php 7.0.1
October 27, 2014 Change FreePBX default MySQL connection

S	M	T	W	T	F	S
	1	2	3	4	5	6
7	8	9	10	11	12	13
14	15	16	17	18	19	20
21	22	23	24	25	26	27
28	29	30

Controversial safe_mode

Related Posts

Leave a comment