|
| |
|
|
| |
для: Владимир55
(05.01.2014 в 11:35)
| | | Поганенькая директива: лучше бы без её. Позволяет в конструкциях группы include использовать URL-адреса, т.е. с удаленного сервера будет загружен текстовый PHP/HTML-файл и выполнен/включен на текущем сервере. Если пользователь сможет подставить свой URL к своему серверу - сайт может быть взломан. Никто так не программирует, конечно, но это мина замедленного действия - некоторые сайты так взламывались. Большинство современных движков (99.9%) не допускают URL в include-конструкциях. Предупреждение о том, что она включена - это, конечно, перестраховка.
Скрипты лучше настраивать строго на локальное использование include, т.е. с отключенной директивой allow_url_include. | |
| |
|
|
| |
|
|
| | Некоторые движки требуют включения allow_url_include, тогда как другие при включении этой опции выводят сообщение, что "хостинг не соответствует минимальным требованиям безопасности".
В чем тут фокус?
На какой режим следует настраивать новые скрипты? | |
| |
|
|
|
