Почему поддержка phar write в PHP особенно заблокирована?

Question

PHP имеет параметр phar.readonly, который по умолчанию должен быть включен и может быть отключен только через файл конфигурации.

Этот параметр отключает создание или модификацию архивов Phar с использованием поддержки phar-потока или поддержки записи объекта Phar. Этот параметр всегда должен быть включен на производственных машинах, так как удобная поддержка записи в phar может обеспечить прямое создание вируса на основе php в сочетании с другими распространенными уязвимостями безопасности.

http://php.net/manual/en/phar.configuration.php

Что является причиной блока по умолчанию на поддержку записи в этом контексте?

Есть более общие и доступные способы записи на PHP, что такое «удобство» поддержки записи Phar, что делает ее опасной с точки зрения безопасности?

Answer 1

Если вам нужно писать без установки только для чтения, вы можете использовать контейнер ZIP или GZ. См. Head-to-head comparison of Phar, Tar and Zip для получения дополнительной информации.

Наличие PHAR readonly эффективно блокирует его с точки зрения хакеров. Если ваша веб-версия PHP (mod_php, php-cgi или что-то еще) имеет значение по умолчанию, то это очень затрудняет компрометацию приложения на основе Phar, поскольку phar.readonly=1 может быть переопределено во время выполнения.

Существует также преимущество в производительности в том, что файл открыт только R/O, а веб-запросы, которые могут быть внутренне параллельными, могут получить доступ и использовать Phar без блокировки файлов.

Как правило, вы создаете Phar в своей тестовой конфигурации с помощью оболочки CLI, как описано в @scribu, и устанавливайте ее на свой общедоступный веб-сервис, просто скопировав Phar в соответствующий каталог приложений.