ini_restore() die x.te - Problem bei all-inkl.com!

malsdgtac · Beitrag von **malsdgtac** » Di 12. Sep 2006, 16:45

Hallo, ich habe das Forum schon nach dem Hinweis bezüglich der ini_restore() durchsucht und auch einiges gefunden, allerdings werde ich daraus nicht ganz schlau.

Ich habe heute zum ersten Mal Contenido 4.6.8 beim gleichen Provider (all-inkl.com) auf einem neuen Server installieren lassen (Konfiguration PHP5 und MySQL 5) um zu testen, ob Contenido darunter auch läuft.

Schaut eigentlich ganz gut aus, bis eben auf diese Fehlermelden (wenn ich die Module aufrufe):

Code: Alles auswählen

Warning: ini_restore() has been disabled for security reasons

In einem Beitrag habe ich gelesen, dass man diese Meldung in der functions.api.general.php in zeile 84 rauswerfen kann. Ist das so richtig? Hat dies sonst keine Auswirkungen?

Gerne möchte ich beim Provieder auch nachfragen, ob sie diese Deaktivierung nicht ausschalten können (Fragen kann man ja). Dazu würde ich euch aber zuerst gerne fragen ob eine weiter der folgenden deaktivierten Funktionen noch Probleme machen könnte:

Code: Alles auswählen

exec,system,passthru,shell_exec,popen,escapeshellcmd,proc_open,proc_nice,ini_restore

Vielen Dank für eure Hilfe, fände es super, wenn Contenido auch unter dieser Konfiguration so sauber läufen würde, wie auch sonst.

Beitrag von **Dodger77** » Di 12. Sep 2006, 16:52

Ich vermute, dass die Deaktivierung von ini_restore() hiermit zu tun hat:

http://www.heise.de/newsticker/meldung/78010

Beitrag von **emergence** » Di 12. Sep 2006, 16:57

die meldung wird aus der functions.mod.php kommen...

In einem Beitrag habe ich gelesen, dass man diese Meldung in der functions.api.general.php in zeile 84 rauswerfen kann. Ist das so richtig?

nein ist falsch, es wäre dann richtig wenn die fehlermeldung
Warning: ini_set() has been disabled for security reasons
lauten würde und sich exakt auf diese zeile in dieser datei bezieht...

ob eine weiter der folgenden deaktivierten Funktionen noch Probleme machen könnte:
Code: Alles auswählen
exec,system,passthru,shell_exec,popen,escapeshellcmd,proc_open,proc_nice

nur wenn du sie als php programmierer benützen möchtest... zb in einem modul
contenido verwendet diese cmd's nicht... (ini_restore wird verwendet)

malsdgtac · Beitrag von **malsdgtac** » Di 12. Sep 2006, 17:11

Na ich find das super - beim Vergleich der deaktivierten Funktionen auf diesem neuen Server und bei anderen Kunden habe ich gemerkt, dass all-inkl.com scheinbar auf allen Servern diese Funktion deaktiviert hat.

Entstehen dadurch jetzt Fehler in Contenido oder nicht?

malsdgtac · Beitrag von **malsdgtac** » Di 12. Sep 2006, 17:24

Für alle die es interssiert - bzw. betrifft:

Folgende Aussage habe ich dazu von all-inkl bekommen:

die Option ini_restore wurde durch uns deaktivert. Der Hintergrund dazu ist unter folgendem Link nachzulesen:

http://www.heise.de/security/news/meldung/78010

Bis es ein Update von PHP gibt, welches diese Sicherheitslücke schließt bleibt dies auch deaktivert. Bitte haben Sie dafür Verständnis.

KreativeStube.de · Beitrag von **KreativeStube.de** » Di 12. Sep 2006, 17:25

smac hat geschrieben:Für alle die es interssiert - bzw. betrifft:

Folgende Aussage habe ich dazu von all-inkl bekommen:

die Option ini_restore wurde durch uns deaktivert. Der Hintergrund dazu ist unter folgendem Link nachzulesen:

http://www.heise.de/security/news/meldung/78010

Bis es ein Update von PHP gibt, welches diese Sicherheitslücke schließt bleibt dies auch deaktivert. Bitte haben Sie dafür Verständnis.

Hi Smac,

damit hast Du mir sehr geholften. Hab den Fehler seit heute mittag auch auf einmal. Habe schon - und ist mir wirklich peinlich - vor 2 minuten dazu auch ein Thema erstellt.

VG,
Marco

mvf · Beitrag von **mvf** » Di 12. Sep 2006, 17:29

KreativeStube.de hat geschrieben:Habe schon - und ist mir wirklich peinlich - vor 2 minuten dazu auch ein Thema erstellt.

entlaste das moard und lösche de beitrag solange keiner geantwortet hat

KreativeStube.de · Beitrag von **KreativeStube.de** » Di 12. Sep 2006, 17:31

mvf hat geschrieben:
KreativeStube.de hat geschrieben:Habe schon - und ist mir wirklich peinlich - vor 2 minuten dazu auch ein Thema erstellt.
entlaste das moard und lösche de beitrag solange keiner geantwortet hat

schon geschehen

würde gerne auf die frage von smac zurückkommen ob die Deaktivierung der ini_restore() sich generell auf das CMS negativ bemerkbar macht, ausser das man eine ellenlange Fehlermeldung hat.

VG,
Marco

malsdgtac · Beitrag von **malsdgtac** » Di 12. Sep 2006, 17:47

Stimmt das ist noch wichtig.

Ich habe mich mal von der Fehlermeldung befreit:

contenido/includes/functions.mod.php
Zeile 157 und 158 habe ich einfach mal auskommentiert

Bis jetzt habe ich noch keine Einbusen bemerkt

malsdgtac · Beitrag von **malsdgtac** » Di 12. Sep 2006, 17:56

hm - wies aussieht funktioniert jetzt der Export der Module per XML nicht mehr.

i-fekt · Beitrag von **i-fekt** » Di 12. Sep 2006, 18:10

Kann das bestätigen, habe den Fehler auch und das ist wirklich sehr sehr ärgerlich.

Beitrag von **Dodger77** » Di 12. Sep 2006, 18:26

Ich habe mir das gerade mal angesehen. Die Einstellungen "error_prepend_string" und "error_append_string" werden dort so geändert, dass eventuelle PHP-Fehlermeldungen des Modulinputs oder -outputs als alt-Attribut der roten Lämpchen ausgegeben werden.

Als Workaround ließe sich auf ini_restore() verzichten. Dafür müsste man in der Datei "functions.mod.php" vor:

Code: Alles auswählen

    /* To parse the error message, we prepend and
       append a phperror tag in front of the output */
    @ini_set("error_prepend_string","<phperror>");
    @ini_set("error_append_string","</phperror>");

folgendes ergänzen:

Code: Alles auswählen

    $sErs = ini_get("error_prepend_string");
    $sEas = ini_get("error_append_string");

Danach noch diesen Teil hier:

Code: Alles auswählen

    /* Remove the prepend and append settings */
    ini_restore("error_prepend_string");
    ini_restore("error_append_string");

ersetzen durch:

Code: Alles auswählen

    /* Remove the prepend and append settings */
    //ini_restore("error_prepend_string");
    //ini_restore("error_append_string");
    
    @ini_set("error_prepend_string",$sErs);
    @ini_set("error_append_string",$sEas);

Bei mir funktioniert das soweit genauso gut wie der Originalcode, insb. der XML-Export.

stese · Beitrag von **stese** » Di 12. Sep 2006, 19:12

zur not wenn gar nix mehr hilft, kann man bei allinkl. php dateien die endung phpx geben dann haben sie keine basedir-rechte und php läuft als cgi. das ganze kann man mittels htaccess auch noch global für alle php dateien setzen:

Code: Alles auswählen

AddHandler php-cgi .php .php4

aber wie gesagt: lieber die änderungen von dodger nehmen, dann muss man nciht die sicherheitseinstellungen vom server aushebeln

Beitrag von **emergence** » Mi 13. Sep 2006, 07:51

gute änderung...

verschoben nach bugs..

Beitrag von **Dodger77** » Mi 13. Sep 2006, 08:53

ini_restore() wird natürlich auch noch in der "functions.general.php" benutzt um für PHP-Versionen < 4.3.0 die Funktion von restore_include_path() zu emulieren.

Dort ließe sich das aber nicht analog regeln, soweit ich das bisher sehe.