Когда или по каким причинам люди должны включать / выключать PHP Safemode?

Question

Вопрос о безопасном режиме PHP:
По умолчанию он включен в среде учетных записей общего хостинга PLESK: хотя на моем сайте, кажется, работает нормально, но, возможно, он будет работать быстрее / лучше, когда выключен?Я не очень хорошо понимаю приведенный ниже текст, особенно объяснение PHP:

PLESK:

По умолчанию PHP настроен для работы в безопасном режиме с функциональными ограничениями,Некоторые веб-приложения могут не работать должным образом с включенным безопасным режимом: если приложение на сайте выходит из строя из-за безопасного режима, отключите безопасный режим

PHP.net:

Эта функция УСТАРЕЛА с PHP 5.3.0.Полагаться на эту функцию крайне не рекомендуется.Безопасный режим PHP - это попытка решить проблему безопасности общего сервера.С точки зрения архитектуры некорректно пытаться решить эту проблему на уровне PHP, но поскольку альтернативы на уровне веб-сервера и ОС не очень реалистичны, многие люди, особенно интернет-провайдеры, сейчас используют безопасный режим.

Вопрос1: Когда / по каким причинам людям следует включать Safemode?
Вопрос2: Когда / по каким причинам людям следует отключать Safemode?

Answer 1

выключите его.Всегда оставляйте его выключенным.

Он был разработан еще тогда, когда как способ сделать PHP безопасным для использования на массовых хостах и ​​позволить хостам "заблокировать" PHP.

Но со временем стало понятно, что это на самом деле не работает, и проблема все равно не решается.Существуют лучшие способы защиты серверов на уровне системы.Поэтому PHP удаляет функциональность в следующей основной версии и устарела.

Так что, чтобы напрямую ответить на ваши вопросы:

Когда люди должны включить его:

Никогда.Это на самом деле не работает, и это ограничивает то, что вы можете делать с PHP разумным способом, так что просто не включайте его.

Когда люди должны отключить его:

Всегда.Это на самом деле не работает, поэтому нет смысла включать его ...

Это все равно мои 0,02 доллара ...

Редактировать: Некоторые ссылки

Все, что вы можете сделать с сервером, вы можете сделать с включенным Безопасным режимом, включая: В любом случае возможно запись на веб-сервер .Так в чем же смысл?

Поток списка рассылки из PHP об удалении его в 6

Edit2 : О скорости:

Разница в скорости, скорее всего, будет тривиальной в лучшем случае.Это не более чем микрооптимизация.Вы получите гораздо больший выигрыш, если будете хорошо писать свой код, чем беспокоиться о конкретной опции конфигурации, такой как эта.Не беспокойтесь о разнице в скорости вообще.Правильно создайте свое приложение и позаботьтесь о скорости позже.Не говоря уже о том, что выбор интерфейсного веб-сервера (Apache, IIS, Lighttpd, NginX и т. Д.) И SAPI (mod_php, CGI, FastCGI и т. Д.) Будет иметь гораздо большее значение, чем Safe_mode когда-либо может ...

Answer 2

Безопасный режим добавляет некоторые ограничения к функциям, связанным с файловой системой, и к функциям обработки процессов (и некоторые совершенно не связанные параметры cURL).В настоящее время это считается бессмысленным, поскольку его можно обойти на серверах общего хостинга, прибегая к Perl, Python или bash-CGI.Профессиональные хостеры скорее используют suexec и mod_chroot.

Это может быть полезно, если вы хотите запустить устаревшие скрипты (хотя это хорошая идея, открыта для обсуждения).Хотя это не решает всех проблем, ограничения могут помочь уменьшить риски.Таким образом, это лучшее решение, такое как mod_security.

Что касается скорости;это измеримо, но не существенно.