delucidazione su allow_url_fopen

[13manuel84]

cosa mi cambia dal settaggio di questa costante?
io ho trovato che allow_url_fopen stabilisce la configurazione per concedere la possibilità del trattamento con fopen di URL file...

ma sinceramente non capisco cosa significa

qualcuno me lo spiega per favore? grazie mille!

[13manuel84]

e soprattutto, comporta qualcosa lasciarlo a On in termini di sicurezza?

[13manuel84]

uppettino

[ghiacciato]

allow_url_fopen boolean

Questa opzione abilita i wrapper URL per fopen, in modo da potere accedere ad oggetti URL come file. Per default sono forniti wrapper per accedere a file remoti usando il protocollo ftp o http, alcune estensioni, tipo zlib, possono registrarne altri.

e cmq manuale
WWW.PHP.NET RULES!!!



..IcE..

[13manuel84]

il manuale l'ho letto, e ho trovato anche la spiegazione che dici tu, ne ho trovata una anche in inglese che mi dice:

Another PHP option, allow_url_fopen, allows programmers to treat URLs as files. (This option is still on by default.) People often use data from a request to determine the name of a file to read, as in the following example of an application that expects a parameter to specify the name of the file to execute:

codice:

http://www.example.com/view.php?what=index.php

The application then uses the value of the parameter what directly in a call to the include() language construct:

codice:

<? include($what) ?>

As a result, an attacker can, by sending a path to any file on the system as parameter (for example /etc/passwd), read any file on the server. The include( ) puts the contents of the file into the resulting web page. So, what does this have to do with allow_url_fopen? Well, if this option is enabled and you supply a URL in the what parameter, PHP will read and execute arbitrary code from wherever on the Internet you tell it to!

pratricamente mi viene detto che posso usare la variabile [che è un url, o comunque un file] nella pagina successiva come argomento di un include, ma non mi sembra quella gran cosa, cioè, lo posso fare anche con la costante a Off...o no? non si tratta di un semplice passaggio di dati tramite querystring?
se io ho http://www.example.com/view.php?what=index.php e in view.php faccio:

codice:

$pagina = $_GET['what'];
include($pagina);

e ho la costante a Off non funziona? se potessi provare non chiederei qui, ma non ho permessi di amministratore sulla macchina e non posso cambiare la costante [che al momento è a On].

poi stando all'ultima parte in grassetto, della spiegazione in inglese, sembrerebbe che se fosse settata a On si andrebbe incontro a non pochi attacchi da parte di simpaticoni, ma anche qui, se si fa un minimo controllo sui dati ricevuti via GET [così come si dovrebbe fare per quelli via POST] non penso si vada incontro a grandi problemi.

aspetto ancora delucidazioni, perché sinceramente non capisco il significato della costante, cioè, il significato l'ho capito, quello che non capisco è cosa cambia se questa è settata a On piuttosto che a Off.

ringrazio per le risposte ottenute finora, e spero di poter ottenere altre spiegazioni.

[13manuel84]

uno alla volta non tutti insieme

[drAlberT]

è corretto quello che hai trovato .. è un grosso pericolo di sicurezza!!!

puoi fare XSS .. metterlo a off è possibile anche runtime (con ini_set) .. ma non è il solo controllo che devi fare nell'include ..

a riguardo puoi dare un occhio all'esempio usato nella 3° lezione del corso libero di PHP

[13manuel84]

ma io non mettevo in dubbio che quello che ho trovato non fosse corretto, continuo a non capire l'utilità di questa costante [vedi 2post sopra]

grazie per la risposta, ora andrò a vedere la lezione che dici!

[13manuel84]

ragazzi per favore!

davvero, prendetemi pure per scemo, ma non capisco cosa cambia avere la direttiva a On piuttosto che a Off...

[13manuel84]