【发布时间】:2019-08-14 05:33:50
【问题描述】:
在 PHP 中,allow_url_fopen 标志控制远程 URL 是否可以是 used by various file system functions,以便访问远程文件。
现在建议安全最佳实践禁用此选项,因为它是潜在的攻击媒介。但是,如果禁用该设置,任何依赖此功能才能工作的代码都会被破坏。例如,我知道至少有一个 reCaptcha 插件使用 file_get_contents() 来访问 Google API,因此依赖于这个标志。
为了检查我们应用程序中的代码以确定禁用此标志是否安全(以在必要时进行重写),我需要它影响的 PHP 函数的规范列表。但是,我一直找不到这样的列表 - PHP 网站上似乎没有,而且 Google 搜索也没有找到任何结果。
- 谁能提供行为受
allow_url_fopen影响的所有PHP函数的列表?
接受的答案应引用权威来源或提供有关用于编制列表的方法的详细信息,以证明其正确性和完整性。
【问题讨论】:
-
您是否检查了使用设置
allow_url_fopen的PHP 源代码并从那里向后退? -
这就是后备方法,我猜,如果此信息不存在于其他任何地方,但听起来工作量很大。
标签: php php-internals