Mailinglisten-Archive |
Hi Michael,
Am Donnerstag, 24. November 2005 10:01 schrieb Michael Borchers:
> Lutz Zetzsche schrieb:
> > Du könntest die externe Datei natürlich mit fsockopen() einlesen. Die
> ok danke
> das skript könnte ich ohne weiteres ausführen lassen,
> da niemand die variable $url ändern kann.
Es geht eher darum, ob jemand die Datei ändern kann, die Du auf diese Weise
einbinden möchtest. Wenn das möglich ist, kann man Dir schnell PHP-Code in
Deine Anwendung einschleusen und Deine Anwendung und vielleicht sogar die
Datenbank und den Webserver kompromittieren.
> wie müsste das dann aussehen?
Zu der Funktionsweise von fsockopen() beim Einlesen von Dateien solltest Du
Dir einfach mal die Beispiele in den Kommentaren der Online-Doku ansehen. Da
gibt es alles, was Dein herz begehrt. :-)
> ps:
> wie setze ich allow_url_fopen im skript auf off?
> ini_set('allow_url_fopen ', 0) o.ä. scheint bei mir nicht zu gehen?! :(
Jetzt wird es spannend. :-) Warum willst Du es auf OFF setzen, wenn es auf ON
zu sein scheint und Du eigentlich auch ON und nicht OFF brauchst? ;-) Dann
laß es doch auf ON und arbeite direkt mit include(). Du mußt Dir natürlich
über die Sicherheitslücke im Klaren sein, wenn Du externen Code einbindest
und ausführst.
Und warum Du allow_url_fopen nicht im Skript setzen kannst, steht hier:
http://de3.php.net/manual/en/ref.filesystem.php#ini.allow-url-fopen
Aus Sicherheitsgründen (!) darf diese Einstellung nur in der php.ini gesetzt
werden. :-)
Viele Grüße
Lutz
php::bar PHP Wiki - Listenarchive