nicht angemeldet
allow_url_include auf ON /Beschränkung auf Domains?
Hallo zusammen,
ich brauche für eine Lösung in einem CMS die Server-Einstellung Allow_url_include = ON, da ich ein bestimmtes Skript ausführen möchte.
Aus Sicherheitsgründen ist das Ganze natürlich nicht optimal...
Daher meine Frage:
Kann ich (bspw. über.htaccess) allow_url_include aktivieren, aber nur einen include von bestimmten Domains zulassen?
Hat da jemand einen Tipp für mich?
Vielen Danke,
cd99
-
Aus Sicherheitsgründen ist das Ganze natürlich nicht optimal...
Wieso sollte das Probleme verursachen können? Wenn du sichere Scripte verwendest, können ohnehin keine Benutzereingaben dein fopen() beeinflussen.
Nebst dessen:
Die Alternativen sind immer noch fsockopen() oder cURL - beides ist üblicherweise uneingeschränkt verfügbar, auch wenn man allow_url_fopen auf OFF steht.
Eine weitere Alternative steht mit exec()-ähnlichen Funktionen zur Verfügung - hiermit kann man ebenfalls recht problemlos mit wget zeug nachladen - und falls das nicht hilft, nimmt man halt lynx und holt sich den Output.
Es gibt viele Möglichkeiten, fopen() zu umgehen.
Und wenn jemand bereits so weit ist, beliebige andere Funktionen auszuführen, hast du ohnehin ein gröberes Problem.
-
Das stimmt natürlich, dann habe ich ein Probleme...
Das Skript (ist nur eins) ist auch -soweit mir ersichtlich- safe, daher ist es eigentlich nicht so dramatisch, aber siche rist sicher.
Danke fürs Feedback
-