php.ini | allow_url_fopen | مشکل امنیتی ؟

[afrateam]

سلام
اسکریپتی روی سرور مجازیم دارم که به تایع allow_url_fopen نیاز داره
روشن بودنش مشکل امنیتی نداره ؟

[Rezash]

به برنامه اجازه مي ده از منابع خارجي هم استفاده كنه
فكر كنم اگه برنامه به درستي كد نويسي شده باشه مشكلي پيش نمياد

---------- Post added at 05:11 PM ---------- Previous post was at 05:05 PM ----------

اگر هم قصد فعال سازيش رو نداريد مي تونيد شيوه ي كد نويسي اسكريپت رو عوض كنيد...
ولي اصولا اگه ورودي ها توابع كنترل بشند مشكلي پيش نمياد.

[afrateam]

روی این سرور فقط یه اسکریپت آپلود عکس هست مثل همونی که 1eng استفاده کرده در آدرس upload24.ir

پس به خودیه خود مشکل امنیتی نداره..
درسته ؟

[Rezash]

اگه در شيوه كد نويسي مشكلي نباشه خير
من اون اسكريپت رو نديدم ولي چك كردنش هم كار سختي نيست
جاهايي كه از توابع fopen و مشابه استفاده شده رو بررسي كنيد كه ورودي هاش فيلتر شده باشه
چون باز بودن اين امكان به برنامه امكان include كردن يك فايل از سرور ديگه رو ميده و اگه برنامه به درستي نوشته نشده باشه مي تونه مشكل ساز بشه
اگر هم ورودي ها فيلتر نشده باشند ميشه خيلي راحت براش فيلتر گذاشت

[afrateam]

ممنون