allow_url_fopen

Fragen zu allen Themen rund ums Programmieren außerhalb von phpBB können hier gestellt werden - auch zu anderen Programmiersprachen oder Software wie Webservern und Editoren.
Antworten
Benutzeravatar
habbi
Mitglied
Beiträge: 548
Registriert: 04.05.2005 16:20
Wohnort: Schweiz
Kontaktdaten:
Kontaktdaten von habbi

allow_url_fopen

Beitrag von habbi »

ich höre, dass wenn allow_url_fopen on ist, gibt es ein sicherheitsrisiko.
z.b bei diesem code
<?php
$myinclude = 'functions.php';
?>
besteht da auch gefahr?
oder nur wenn ich include $myinclude; nehme?
Nach oben
fanrpg
Mitglied
Beiträge: 2909
Registriert: 13.12.2004 22:41

Beitrag von fanrpg »

das dürfte ziemlich sicher sein, wenn du es so machst.

Unteres Beispiel wäre NICHT sicher:

Code: Alles auswählen

<?php
include($myinclude.'index.php');
// ...
$myinclude = 'sonstwas/';
?>
Desweiteren wäre es sicher wenn register_globals off ist.
Nach oben
Benutzeravatar
larsneo
Mitglied
Beiträge: 2622
Registriert: 07.03.2002 15:23
Wohnort: schwäbisch gmünd
Kontaktdaten:
Kontaktdaten von larsneo

Beitrag von larsneo »

allow_url_fopen (bzw. ab php 5.2.0 allow_url_include) *kann* in verbindung mit weiteren schwachstellen im code durchaus ein sicherheitsrisiko darstellen (die j!-anhänger werden sicherlich davon ein lied singen können) - allerdings sorgt das deaktivieren der funktionalität im umkehrschluss nicht automatisch für sicherheit, php://input und data:// inkludierungen sind davon unbenommen.
siehe z.b. http://www.cms-sicherheit.de/module-blo ... pid-2.html
gruesse aus dem wilden sueden
larsneo
..::[krapohl.net]::..
Nach oben
Antworten

Zurück zu „Coding & Technik“