phpbar.de logo

Mailinglisten-Archive

[php] include / allow_url_fopen / alternative

[php] include / allow_url_fopen / alternative

Michael Borchers php at tridemail.de
Don Nov 24 10:38:11 CET 2005


das sind ja mal ausführliche antworten. danke!

> Es geht eher darum, ob jemand die Datei ändern kann, die Du auf diese
Weise
> einbinden möchtest. Wenn das möglich ist, kann man Dir schnell PHP-Code in
> Deine Anwendung einschleusen und Deine Anwendung und vielleicht sogar die
> Datenbank und den Webserver kompromittieren.

auch hier kein grund zur panik, das skript ist immer das gleiche und ist
ebenfalls von mir.
wir haben eine art CMS datei, die von verschiedenen domains auf unserem
server aufgerufen
werden soll. daher wind der weht;)


> Jetzt wird es spannend. :-) Warum willst Du es auf OFF setzen, wenn es auf
ON
> zu sein scheint und Du eigentlich auch ON und nicht OFF brauchst? ;-) Dann
> laß es doch auf ON und arbeite direkt mit include(). Du mußt Dir natürlich
> über die Sicherheitslücke im Klaren sein, wenn Du externen Code einbindest
> und ausführst.

ich wollte nicht unsere php.ini ändern, weil ich nicht weiss, ob
irgendwelche anderen
skripte dann was abkriegen.
die sicherheitslücke werden ich auf jeden fall beseitigen, sprich OFF wird
es am ende sein.

hm, aber die globals wollen bei mir auch nicht, c'est normal?
ini_set('register_globals', 'Off'); auch nicht false oder 0 :(


php::bar PHP Wiki   -   Listenarchive