Dubbio su problemi con librerie GD su server 4

[drudo]

Salve a tutti,
su un mio account, credo ospitato sul server 4 (quando sono nel pannello vedo http://s4.altervista.org:8080/ecc. ), ho un problema con uno script in PHP che mi genera una galleria fotografica grazie alle librerie GD.

Fino all'altro ieri, ovvero il 27.03.05, tutto funzionava a meraviglia, ma da ieri lo script non gira più! Da questo il mio dubbio che siano state modificate impostazioni su quel server e quindi richieste di delucidazioni .

Il link dove è presente lo script:
http://buteleti.altervista.org/butei.php

Mentre lo script PHP è reperibile quì:
http://www.rossp.org/proj-photodir.php

[drudo]

Giusto per la cronaca... sull' account "drudo.altervista.org" funziona correttamente!

Ecco lo script nei due account con IDENTICHE impostazioni (ovviamente cambiando gli URI):
http://drudo.altervista.org/photodir-1.1/photodir.php (server 6)
http://buteleti.altervista.org/photo...1/photodir.php (suppongo server s4)

Come mai?
Qualcuno può darmi lumi?


ciao
drudo

[Evcz]

pagina bianca...

non è detto che siano le gd...

bisognerebbe provare a vedere dov'è che si blocca l'esecuzione dello script... testando una linea alla volta...

fai così:

apri il file e mettici un

die("qui funziona");

partendo dall'inizio e sponstandoti in basso fin quando sparisce...

quando sparisce vuol dire che la riga prima da il problema... ed è quella da indagare ;)

se riesci ad isolare tale riga si può pensare a qualcosa ;)

[drudo]

La cosa del "die" non l'ho ben capita... o meglio non ho ben capito come possa dare il messaggio (qui funziona) anche interrompendo un ciclo... boh non sono un gran esperto di php anzi :/

Comunque grazie ad un errore:
Parse error: parse error, unexpected T_ELSEIF in /membri2/buteleti/photodir-1.1/photodir.php on line 77

ho notato che l' URI comincia proprio con /membri2/
uhhhh ma avvisate fino all'altro giorno stavo in /membri/


grazie 1000
ciao
drudo

[Evcz]

ecco dove stava l'inghippo :)

[heracleum]

ho notato che l' URI comincia proprio con /membri2/
uhhhh ma avvisate fino all'altro giorno stavo in /membri/

ma che davero davero?

[Gianluca]

drudo:

il cambiamento della base del pathname non dovrebbe essere un problema in quanto ogni file è tranquillamente accessibile sia da /membri/nick che da /membri2/nick
La soluzione migliore sarebbe evitare dei usare questi percorsi assoluti e dare riferimenti relativi, dove necessario, comunque, l'usare /membri/ è sempre preferibile.

Nel caso specifico di questo script, però viene richiamata la funzione realpath() per un controllo di sicurezza:

if (realpath($photo) != $photo) {
/* Use realpath to find out if someone has tried spoofing us with
../../../../etc/passwd or similar. */
exit;
}

realpath() risolve tutti i riferimenti relativi di questo tipo: /../ e anche i link simbolici, questo fa comparire /membri2 nel percorso e fallire quindi il controllo.

Ci sono molti modi per modificare lo script perchè funzioni anche con il percorso assoluto canonico (ma non ufficiale /membri), senza necessariamente perdere in sicurezza, uno di questi è ad esempio fare un controllo sul path immesso dagli utenti per ricercare /../ e /./, come fa appunto realpath()