[PHP-users 27441] Re: safe_modeにおけるimagejpeg関数

[Yasuo Ohgaki]

大垣です。

a2cf ＠ achn.co.jp wrote:
>>とりとめなくて申し訳ないんですが、とりあえず4.4.1でgd関数にsafe_mode判定
>>が追加されたのではないでしょうか。
>>現状の動作がphpとして予定通りのものなのかどうかは、僕には判りません。
> 
> 
> そうですよね。
> 以前は、safe_modeでも特にそのような仕様ではなかったので(ダミーファイルの作成)、個人的にはうれしくない仕様変更ですね・・・。
> 調べていただきましてありがとうございました。

この問題は厄介ですね。

safe_modeがOnの場合、php_checkuid()が呼ばれてファイル
のUIDとディレクトリのUIDがチェックされます。ファイルが
無いと必ずphp_checkuid()が失敗しますね。

コードとしては論理的には矛盾は無いのですが実運用では困
りますね。

個人的にはdestinationファイルはセーフモードチェック無しで
php_check_open_basedirチェックだけ行うようにした方が良い
と思います。
# 書き込めないようにしたい時はchmodでパーミッションを変えて
# おけば良いですから。

新しい動作は仕様としてはあまりに不恰好なので、バグレポート
を書かれてみてはいかがでしょうか?

-- 
Yasuo Ohgaki