Thema: Was das? allow_url__fopen

"allow_url_fopen" ON/OFF ist eine PHP Option (Variable) die in der php.ini, die bei vielen Hostern aus Sicherheitsgründen abgeschaltet ist. Bei ON lassen sich offensichtlich (soviel verstehe ich nicht von PHP ) Scripts von fremden Servern laden und ausführen.

"Durch unsichere PHP-Scripts lässt sich weiterer Script-Code einschleusen, der beispielsweise von einem anderem Webserver nachgeladen und ausgeführt wird.

Anstelle des Pfades zu einer lokalen Datei ist es so möglich, eine URL zu einer Datei auf einem Webserver anzugeben. Der include-Befehl lädt das Skript von dort aus nach und bindet ihn ein. Liegt der Exploit-Code bereit und ist ein verwundbares Skript gefunden, kann ein Angreifer über einen einzigen HTTP-Get-Request die Attacke starten."

Ich vermute mal in Deinem Script ist irgendwo was wie "include("http://meineseite.de/includes/beispiel.php")" oder ähnlich. Wenn ja lässt sich das umgehen indem Du den lokalen Pfad des "beispiel.php" angibst.

Hi Spice,

das hat was mit den php Einstellungen in der php.ini zu tun.


Auszug aus der PHP Doku

allow_url_fopen boolean
Diese Option aktiviert den URL-aware fopen wrappern, welche den Zugriff auf URL Objekt ähnliche Dateien ermöglicht. Standardmäßig stehen Wrapper für den Zugriff auf entfernte Dateien über das FTP oder HTTP Protokoll zur Verfügung, manche Erweiterungen wie zlib können über weitere Wrapper verfügen.

Anmerkung: Die Option wurde unmittelbar nach der Freigabe von PHP 4.0.3 eingeführt. In den Versionen bis zu inklusive 4.0.3 können Sie diese Eigenschaft nur während des Kompilierens mittels der Konfigurationsoption --disable-url-fopen-wrapper deaktivieren.

Die bedeutet, du kannst folgenden Code nicht ausführen. Dies wurde deaktiviert.

Code:

$file = fopen ("http://www.example.com/", "r");

gruss axel