Mailinglisten-Archive |
Hi Michael, Am Donnerstag, 24. November 2005 10:01 schrieb Michael Borchers: > Lutz Zetzsche schrieb: > > Du könntest die externe Datei natürlich mit fsockopen() einlesen. Die > ok danke > das skript könnte ich ohne weiteres ausführen lassen, > da niemand die variable $url ändern kann. Es geht eher darum, ob jemand die Datei ändern kann, die Du auf diese Weise einbinden möchtest. Wenn das möglich ist, kann man Dir schnell PHP-Code in Deine Anwendung einschleusen und Deine Anwendung und vielleicht sogar die Datenbank und den Webserver kompromittieren. > wie müsste das dann aussehen? Zu der Funktionsweise von fsockopen() beim Einlesen von Dateien solltest Du Dir einfach mal die Beispiele in den Kommentaren der Online-Doku ansehen. Da gibt es alles, was Dein herz begehrt. :-) > ps: > wie setze ich allow_url_fopen im skript auf off? > ini_set('allow_url_fopen ', 0) o.ä. scheint bei mir nicht zu gehen?! :( Jetzt wird es spannend. :-) Warum willst Du es auf OFF setzen, wenn es auf ON zu sein scheint und Du eigentlich auch ON und nicht OFF brauchst? ;-) Dann laß es doch auf ON und arbeite direkt mit include(). Du mußt Dir natürlich über die Sicherheitslücke im Klaren sein, wenn Du externen Code einbindest und ausführst. Und warum Du allow_url_fopen nicht im Skript setzen kannst, steht hier: http://de3.php.net/manual/en/ref.filesystem.php#ini.allow-url-fopen Aus Sicherheitsgründen (!) darf diese Einstellung nur in der php.ini gesetzt werden. :-) Viele Grüße Lutz
php::bar PHP Wiki - Listenarchive