Tema: Re: web adminų galvos skausmai
Autorius: Nerijus Kislauskas
Data: 2012-03-23 15:03:29
On 03/23/2012 11:42 AM, Laimis wrote:
> Reikia skaityti ir nagrinėti.
Na, paskaičiau, pasinagrinėjau ir mano apibendrinimas būtų toks:
allow_url_include (priklausantis nuo allow_url_fopen) yra mechanizmas
reguliuoti funkcijų include(), include_once(), require(), require_once()
veikimą. Jei nori includinti/requirinti iš URL, turi dar suhosin
blacklist/whitelist mechanizmą kaip apsaugą.
allow_url_fopen yra mechanizmas, leidžiantis traktuoti URL kaip failus.
Galima jį įjungti arba išjungti. Deja, apsaugų nei PHP viduje, nei
suhosin nerasta (kokį URL leisti atidaryti kaip failą, kokio ne).
Kažkaip sunku patikėti, kad PHP kūrėjai nepagalvojo, kad fopen() gali
naudotis tiek geriečiai, tiek blogiečiai, ir kad administratoriams yra
būtinybė skirstyti URL į gerus ir blogus. Suhosin bent jau galėjo apie
tai pagalvoti.
Yra kur tobulėti... visiems...
--
Pagarbiai,