php – allow_url_fopen安全吗?
发布时间:2020-12-13 18:27:17 所属栏目:PHP教程 来源:网络整理
导读:参见英文答案 Should I allow ‘allow_url_fopen’ in PHP?5个 我目前正在使用file_get_contents()获取网页的标题,给定URL.在wamp上,这非常好用.但是,当我将其转移到我的网络服务器时,我遇到了一个问题,导致我回到 this. (将allow_url_fopen设置为1). 设置此
|
参见英文答案 >
Should I allow ‘allow_url_fopen’ in PHP?5个
我目前正在使用file_get_contents()获取网页的标题,给定URL.在wamp上,这非常好用.但是,当我将其转移到我的网络服务器时,我遇到了一个问题,导致我回到 this. (将allow_url_fopen设置为1). 设置此功能是否存在重大安全风险?如果是,是否有任何其他方法可以从URL本身获取网页标题? (另外,不确定标签,如果合适,请随意添加/删除!) 编辑(1):进一步的研究引导我到this问题,这几乎说它也是一个风险,并且如果应用程序不需要它就禁用它.不幸的是,这并没有告诉我所涉及的风险. 编辑(2):快速注释,我将使用此功能与用户输入(URL),而不是内部,这就是为什么我想确保绝对没有涉及安全风险
这只是您可能希望allow_url_fopen设置为0的一个原因
假设您允许用户输入网址,并让您的服务器获取此网址. 您可能会编写类似这样的代码: – 您不应该对此进行编码 – echo file_get_contents($_POST['url']); 问题是这里存在安全问题.有人可以传递文件路径而不是URL,并且可以访问服务器的文件. 例如,有人可能将/ etc / passwd作为url传递,并且能够查看其内容. 现在,如果allow_url_fopen设置为0,则不会使用file_get_contents来获取URL,您将使用CURL. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |