PHP и чтение/исполнение php-файлов

[thingol]

PHP и чтение/исполнение php-файлов

Что есть: хостинг с PHP в safe_mode.

Что хочется: административный PHP-скрипт "файлменеджер", позволяющий каждому пользователю хостинга редактировать в визуальном режиме свои файлы.

Чего не хочется: чтобы пользователь мог испортить этот "файлменеджер".

Т.е., с одной стороны, php-скрипт "файлменеджера" должен иметь тот же UID/GID, что и наш пользователь - иначе пользователь не сможет редактировать свои файлы.

А с другой стороны, если он будет иметь тот же UID/GID, то пользователь напишет элементарный php с fopen(), который и попортит наш "файлменеджер".

Внимание, вопрос - это неразрешимое противоречие?

 

[phil_ep]

Просто убери права на запись файлов "файлменеджера". Или я не так вопрос понял?

 

[thingol]

А кто помешает ему выставить эти права из своего php-скрипта?

 

[Pike]

Ну блин запрети файлменеджеру читать/писать в себя. Типа if ($fname=="filemanager.php") {
echo "oblom";
exit;
}
А лучше всю директорию так спрятать. Чтобы и не видно, и не слышно, и не доступно

 

[Pike]

А, пардон, недопонял.
Тогда только убирать файлменаджер за пределы видимости юзера.

 

[thingol]

2Pike.

Я говорю не про запись "в себя" из файлменеджера.

Я говорю про злобный скрипт с fopen(), которым юзер попортит файлменеджер.

Я не могу придумать способа защитить его.

 

[thingol]

Каким конкретно способом его можно убрать?

Думал дня два, идей нет.

 

[Crazy]

IMHO, самое простое решение -- разрешить портить. И раз в сутки кроном восстанавливать не глядя...