>> Наоборот, нужно убрать саму disabled_functions, которая может приподнести неожиданный
>> сюрприз,
> сюрпризов не будет если уважать хост на котором прикрутили гайки, а проверять
> (всего в 3 строки), что можно а что нет:
> function system_enabled() {
> return !in_array('system', explode(',', ini_get('disable_functions')));
> } Вот это уже костыль!
А если мне, таки, нужен вызов system?!
И мне что каждую в PHP ф-ию таким способом проверять, чтобы убедится, что упоротый админ не отключил её?
> а вот запрет выполнения eval-a, это уже защита хоста,
Защита какого хоста и от кого?
Если имеется ввиду один виртуальный хост от другого, то такая защита должна заключаться в запуске хостов от разных пользователей, которые не должны даже иметь доступ на чтение хостов друг-друга.
Если имеется ввиду защита сервера от виртуального хоста, то это также осуществляется привелегиями.
Если Вы имеете ввиду защиту виртуального хоста от самого себя, то это просто маразм.
>> например невозможность установить права на выгруженный файл
> может все таки лучше уважать права сервера и пользоваться тем что позволят?
А может всё-таки стоит уважать права пользователя! Если сервер выделил для виртуального хоста место, так сказать его домашнюю директорию, то он вправе в ней делать что пожелает!?
>> или проверить состояние демона через system!
> проверять состояние демонов - это обязанность админов и их софта который смотрит
> за системой.
А если у меня, внезапно, веб-админка, которая мониторит и управляет запуском какого-то сервиса, который является непосредственно частью проекта, например отвечающего за обновление страницы в реальном времени, аля web-sockets, или запускающий сli-скрипт для рассылки уведомлений, или чистки чего-либо?
> Почему так всем хочется Windows 98, - пиши куда хошь, читай все
> что хошь.
В пределах домашней директории ДА! Так везде!
> PHP - интернет facing язык и конфигураця настройки должна ...
...предсказуемой и внезапно не влиять на базовые возможности и ф-ии языка!