Composer update: "Allowed memory size..."

**Schockwelle** · 12.03.2019, 18:36

Hallo zusammen,
jetzt werden vielleicht einige beim Titel bereits gestöhnt haben, aber meine Frage ist etwas anders bzw. betrifft indirekt Contao bzw. den Composer.

Ich habe bei mir einen nginx Server mit diversen PHP Versionen als FPM laufen und jeder Nutzer hat seine eigene php.ini bzw. conf.

Wenn ich bei dem jeweiligen Nutzer die php.ini bzw. seine .conf Werte mit phpinfo() ausgebe, dann steht bei memory_limit 2048M (Local Value & Master Value)
und damit sollte der Composer eigentlich laufen. Läuft aber nicht und ich verstehe nicht ganz warum.

In der eigentlichen php.ini steht 512M als memory_limit und in der .conf des Nutzers steht 2048M und es läuft nicht – und wie bereits oben erwähnt
steht bei phpinfo() 2048M. Ich gehe also davon aus, dass die Werte aus der Nutzer .conf die Werte aus der php.ini überschreiben. Was generell
funktioniert (z.B: openbasedir, sendmail), aber entgegen der Ausgabe wohl nicht ganz.
Erhöhe ich den Wert in der php.ini auf 2048M, dann läuft der Composer durch.

Kann mir jemand auf die Sprünge helfen, warum es so ist?

**fiedsch** · 12.03.2019, 19:12

Deine php.ini sind die Dateien für den PHP-Serverprozess. Composer benötigt aber PHP-Cli und das sind m.W. andere Einstellungen.

**Schockwelle** · 12.03.2019, 19:32

Zitat von fiedsch

Deine php.ini sind die Dateien für den PHP-Serverprozess. Composer benötigt aber PHP-Cli und das sind m.W. andere Einstellungen.

Natürlich, dass erklärt einiges. Danke.

Leider wirft es jetzt eine neue Frage bzgl. der Sicherheit auf einem (quasi) Shared-Hosting auf:

Da in der eigentlichen php.ini die für CLI verantwortlich ist, kein open_basedir etc gesetzt ist, wäre
es doch mit dem Composer möglich, dass der Nutzer sich Zugang außerhalb seines Verzeichnisses
verschafft. Oder sehe ich das falsch?

**tab** · 12.03.2019, 19:42

Es gibt ja auch noch die Dateirechte des Betriebssystems. Die kann auch PHP nicht außer Kraft setzen.

**Schockwelle** · 12.03.2019, 19:49

Zitat von tab

Es gibt ja auch noch die Dateirechte des Betriebssystems. Die kann auch PHP nicht außer Kraft setzen.

Richtig. Das beruhigt mich ehrlich gesagt nicht wirklich, weil ich weitere Probleme sehe – z.B. das tmp-Verzeichnis des Servers etc.

Wie sichere PHP auf der Kommandozeile ab oder kann ich das vergessen?

**tab** · 12.03.2019, 20:58

Du kannst den tmp-Ordner durchaus entsprechend absichern, so dass nicht der eine User die temporären Dateien des anderen lesen oder überschreiben kann. Völlig unabhängig von PHP, mit den Mitteln des Betriebssystems, in der Regel ein Linux. Dazu gibt es mit Sicherheit Material im Web oder auch Bücher, die Lösungen für solche Probleme anbieten und mit denen man sich in das Thema einarbeiten kann. Das ist nichts, was man so eben mal nebenbei machen kann. Da muss man sich halt erst mal schlau machen. Erst wenn man versteht was man tut kann man auch eventuelle Lücken vorhersehen und schliessen. Das ist definitiv Arbeit! Helfen kann eventuell eine für shared hosting ausgelegte Software wie Plesk, Froxlor und ähnliche. Dazu wird es dann auch Dokumentation geben. Um die User voneinander "abzuschotten" gibt es verschiedene Strategien. Alle haben ihre Fallstricke, vor denen auch echte Profis nie sicher sind. Du willst definitiv nicht wissen, bei wievielen - auch namhaften - Hostern in dieser Hinsicht erhebliche Mängel bestehen oder bestanden haben, von denen der jeweilige Hoster teilweise sogar weiss oder wusste. Und wenn Profis nicht davor gefeit sind, des öfteren mal krachend zu scheitern mit ihren Sicherheitskonzepten, ...