ก็มีคำถามมาให้เซียนๆ ทั้งหลายมาช่วยตอบกัน จะได้เป็นประโยชน์ให้กับใคร หลายๆ คน
- เรื่องแรกเป็นเรื่องของ Open BaseDir เห็นหลายๆ Host ไม่เปิดกัน ก็อย่าลืมไปเปิดกันไว้ก่อนนะครับ ตั้งค่า Default เป็น On ไว้เลย
ขอเสริมเรื่อง file permission อีกหน่อยครับ
หลายๆ script ตอนติดตั้งมักจะให้เราไปแก้ไฟล์ permission ที่มันต้องการเขียนทับให้เป็น 777
บางทีก็เล่นเปลี่ยนมันหมดทั้ง file และ folder
จริงๆแล้ว permission ไม่จำเป็นต้องเป็น 777 เสมอไป permission ที่ปลอดภัยและใช้งานได้คือ
สำหรับไฟล์ทั่วไปที่อ่านอย่างเดียว
Owner = User
Group = Apache
Folders permission 750
Files permission 640
และสำหรับ folder และ file ที่ต้องมีการเขียนทับ
Owner = User
Group = Apache
Folders permission 770
Files permission 660
คือทำอย่างไร ให้ user ไม่สามารถ ไปวุ่นวาย ที่ dir ของคนอื่นได้ ก็น่าจะพอสำหรับ web hosting
วิธีที่บอกมา ก็ใช้ได้ครับ แต่ถ้าจะไม่ให้เห็นกันจริง ๆ ไม่สามารถ read dir ได้จริง ๆ ควร set
permission เป็น 711 ครับ แบบนี้รับรองว่า read ไม่ได้ แต่ใช้งานได้ปกติ …
ส่วนใหญ่ที่โดน hack ก็มาจาก code ไม่ดี แล้วก็สามารถ cross site script เข้าไปได้ จากนั้น
ก็ upload พวก php shell ขึ้นไป แค่นี้ก็จบละ ไปอ่าน config file อะไรได้หมด ก็เข้าถึง DB ได้
ในทาง security จริง ๆ เค้า compile config file กันก่อนนะครับ ไม่ใช่เป็น script file ปกติ
เพราะ script file อย่างเช่น config.inc.php ใคร ๆ ก็เปิดอ่านได้ … แต่เราต้องเลือกเอาครับว่า
งานที่เราทำ มันต้อง security ระดับไหน เพราะอย่างที่รู้ ๆ กัน ความสะดวก แปรผกผัน กับความปลอดภัย …
แต่เรื่อง register_globals อะไรพวกนี้ ผมไม่สนใจเท่าไร เพราะอย่างที่บอกไปในกระทู้ที่ถาม
เรื่อง include อันนั้นก็มีหลาย ๆ คนไปแสดงความเห็นอย่างชัดเจนแล้ว หลาย ๆ ความคิดเห็นมีประโยชน์
หลาย ๆ ความคิดเห็น ผมไม่เห็นด้วย แต่มันก็ไม่ใช่ผิด เรื่องพวกนี้ ต้องเจอเหตุการณ์ จริง ๆ แล้วจะ
เกิดประสบการณ์ บางอย่างไม่เจอด้วยตัวเอง ก็ไม่รู้ ต้องค่อย ๆ ลองไปครับ เดี๋ยวเจออะไร ก็จะได้รู้เอง
“Open Base Dir” ใน DirectAdmin ผมลง DA เสร็จก็เข้า admin จัดการ open base dir=on เป็น default กับปรับ php.ini , httpd.conf , my.cnf
ส่วนเรื่องปัญหารูรั่วของสคริป…ก็ว่ากันไปตามการใช้งาน