Seite 1 von 1
allow_url_fopen
Verfasst: 17.12.2006 18:12
von habbi
ich höre, dass wenn allow_url_fopen on ist, gibt es ein sicherheitsrisiko.
z.b bei diesem code
<?php
$myinclude = 'functions.php';
?>
besteht da auch gefahr?
oder nur wenn ich include $myinclude; nehme?
Verfasst: 17.12.2006 18:15
von fanrpg
das dürfte ziemlich sicher sein, wenn du es so machst.
Unteres Beispiel wäre NICHT sicher:
Code: Alles auswählen
<?php
include($myinclude.'index.php');
// ...
$myinclude = 'sonstwas/';
?>
Desweiteren wäre es sicher wenn register_globals off ist.
Verfasst: 17.12.2006 21:18
von larsneo
allow_url_fopen (bzw. ab php 5.2.0 allow_url_include) *kann* in verbindung mit weiteren schwachstellen im code durchaus ein sicherheitsrisiko darstellen (die j!-anhänger werden sicherlich davon ein lied singen können) - allerdings sorgt das deaktivieren der funktionalität im umkehrschluss nicht automatisch für sicherheit, php://input und data:// inkludierungen sind davon unbenommen.
siehe z.b.
http://www.cms-sicherheit.de/module-blo ... pid-2.html