xRayDev (Все сообщения пользователя)

Ноль ответов. Ни кто не читает предыдущие посты в теме?

Нет там PHP консоль, а нужна консоль операционной системы

Денис,

Вопрос к тем у кого сломали сайты.
У вас указана константа BX_TEMPORARY_FILES_DIRECTORY (путь к временной папке аплоада) в dbconn.php и указанная папка находится не в папке самого сайта?

Уточнение на счет eval и disable_function.
eval - это не функция, а языковая конструкция и не может быть отключена через disable_functions.

Олды помнят такую вещь как Suhosin. Для php 7, php 8 есть его продолжение Snuffleupagus https://github.com/jvoisin/snuffleupagus
С его помощью можно блокировать и eval и функции с маской по аргументам вызова и много чего еще. Его бы в BitrixVM (BitrixENV) добавить. Модуль для php в составе репозитория remi есть для CentOS 7,8,9 https://pkgs.org/search/?q=php-snuffleupagus (CentOS, RHEL, Rocky Linux, AlmaLinux). А так же есть пакеты под Debian, Ubuntu, FreeBSD, Fedora, Arch Linux.

При запрете eval, popen ошибки в самом bitrix не полезли? А какой версии у вас битрикс?

А вообще права на папки и файлы не должны позволять изменять и создавать папки и файлы пользователю под которым веб-сервер запущен т.е. этому пользователю нужны права только чтение. В корне сайта есть папка /upload/ только в этой папке можно этому пользователю файлы создавать, но не запускать.

Солюшнс АВИ, В конфиг-файле php можно использовать auto_append_file

vvv476, Сломается не только php://filter а еще куча https://www.php.net/manual/ru/wrappers.php.php

Самое очевидные
php://input
php://output
php://temp

Антон Костин, Более мене с не большими последствиями можно заблокировать вот эти
disable_functions = shell_exec,exec,passthru,system,proc_open,curl_multi_exec,parse_ini_file,show_source

exec:
catalog\export
catalog\import

system:
sale\location\import

proc_open:
scale

show_source:
fileman

очень много используется:
eval
curl_exec


Есть мысли как избавиться от использования eval в коде Bitrix что бы eval тоже можно заблокировать?

Есть эта строка с параметрами целиком?

В .htaccess был подключен скрипт модуля защиты /путь до папки сайта/bitrix/modules/security/tools/start.php?
В Главном модуле Режим вывода ошибок (error_reporting) = Не выводить?
В bitrix/.settings.php в 'exception_handling' параметр 'debug' = false и указан путь до лога ошибок в 'log'?

Apache с php-fpm может работать

yum заменен на dnf в centos 8

baltika,В каком номере версии? В стабильной или в бета?

Как выгрузить реквизит заказов из 1С в Битрикс?
Используется УТ 11.3.4.103 и модуль обмена 1С с Битрикс 7.0.1.6.

Пример можете показать?

Спасибо за ваше решение проблемы.

Вышла 16-ая версия БУС, а SKU так и нет в виде выпадающих списков...

Да... последнее обновление до 15.5.1 принесло этот баг с не работающим ajax для не авторизованного пользователя т.е. гостя.

На своем проекте JavaScript библиотеки подключил (сразу после <?$APPLICATION->ShowHead()?>) в header.php для не авторизованного пользователя так