1.533
Bearbeitungen
Änderungen
Zur Navigation springen
Zur Suche springen
K
verschob „Webhosting:URL-Wrapper (allow url fopen, allow url fopen) in PHP aktivieren“ nach „Webhosting:URL-Wrapper (allow url fopen) in PHP aktivieren“ und hat dabei eine Weiterleitung überschrieben
== Warum die URL-Wrapper in PHP ein Sicherheitsrisiko sind ==
Ursprünglich waren die Funktionen <code>fopen()</code>, <code>include()</code> oder <code>require()</code> etc. dazu gedacht, lokal existierende Dateien in PHP einzubinden bzw. zu öffnen. Im Laufe der Zeit wurde jedoch der Wunsch seitens der Programmierer groß, auch <code>http://</code>- und <code>ftp://</code>-Streams ohne größeren Aufwand verwenden zu können. Dies kann z.B. so aussehen
<pre>$hFile = fopen('http://www.anderedomain.de/test.html');</pre>
Dies alleine birgt noch kein Sicherheitsrisiko in sich. Viele unsauber programmierte Skripte aber übernehmen ungeprüfte Formular-Daten direkt in den Aufruf z.B. von <code>fopen()</code>. Ein Skript mit dem Inhalt(und ohne weitere Validierung von <code>$cmd</code> in Verbindung mit ''RegisterGlobals'' in PHP)
<pre>include($cmd);</pre>
